Håndtering af Persondataforordningen. Aarhus den 22. august 2017 Advokat Kamilla Mondrup

Transkript

1 Håndtering af Persondataforordningen Aarhus den 22. august 2017 Advokat Kamilla Mondrup

2 Overblik Persondatalovgivningen i dag og i fremtiden Særlige emner under Persondataforordningen Personoplysninger uden for EU Gode råd Side 2 Bird & Bird LLP 2017 Subject matter Client Details

3 Persondatalovgivningen i dag og i fremtiden Persondataloven (2000) Baseret på persondatadirektivet (1995) år med voldsom udvikling Forskelle i implementering af direktiv i 28 lande behov for opdateret / harmoniseret lovgivning Persondataforordningen Samme regler i hele EU Dog en række områder, hvor der kan laves nationale regler Finder anvendelse fra 25. maj 2018 Persondataloven ophører og forordningen bliver direkte lov i Danmark Side 3

4 Persondatalovgivningen i dag og i fremtiden Betænkning Den 24. maj 2017 udkom Betænkning nr. 1565/2017 til den nye databeskyttelsesforordning (Persondataforordningen) Formål: Sikre forordningens konkrete gennemførelse i dansk ret, herunder at analysere rammerne for både indførelse og opretholdelse af nationale særregler. Justitsministeriet vil løbende udsende en række vejledninger om forståelsen af forordningen. Ifølge tidsplanen vil de første udkomme i september 2017 (generel information om forordningen, databeskyttelsesrådgiver og overførsel til tredjelande). Lovforslag til "Databeskyttelseslov" Sendt i høring den 7. juli med frist den 22. august 2017 Erstatter Persondataloven Primære retskilde er dog Persondataforordningen 48 paragraffer Fortolkning ud fra en EU-retlig vinkel Som udgangspunkt: Business as usual Side 4

5 Persondataforordningen Øgede krav til virksomheder og offentlige myndigheder Fremover vil der være større fokus på (krav om): Gennemsigtighed Dokumentation Datasubjektets egen kontrol Datasubjektets samtykke Den generelle anmeldelsesordning afskaffes Side 5

6 Forslag til "Databeskyttelsesloven" Forslaget indeholder blandt andet: En videreførelse af reglerne for behandling af strafbare forhold En videreførelse af reglerne om behandling af CPR-nummer En videreførelse af den danske særregel om videregivelse af almindelige personoplysninger til markedsføringsformål Aldersgrænsen for samtykket fra børn til brug af informationstjenester er sat til 13 år Meget få særlige regler for behandling af persondata i forbindelse med personaleadministration Ny interesseafvejningsregel som arbejdsgivere kan anvende til behandling af oplysninger om medarbejdere Præcisering af at samtykke kan anvendes som behandlingsgrundlag i strid med Artikel 29-gruppens anbefaling Side 6

7 Hvorfor så meget fokus på forordningen Bøder Op til EUR 20 mio. eller 4% af årlig global omsætning Afhængigt af hvad der er højest Tage højde for: grovheden, skades størrelse, gentagelse m.v. Sanktioner skal være afskrækkende Ensartede i hele EU Bødeniveauet vil stige voldsomt! Side 7

8 Hvad er personoplysninger efter forordningen? "Enhver form for information om en identificeret eller identificerbar fysisk person" Side 8

9 Typer af persondata Side 9

10 Persondata andre væsentlige begreber Behandling Enhver aktivitet, som persondata gøres til genstand for. Dataansvarlig Den fysiske/juridiske person, som afgør til hvilke formål (og med hvilke hjælpemidler), der skal ske behandling af persondata. Databehandler Den fysiske/juridiske person, som behandler persondata på vegne af den dataansvarlige. Fx en driftsleverandør Datasubjektet Den fysiske person hvis personoplysninger behandles Side 10

11 Danske virksomheder skal i gang! Anvendelsesområdet er bredt Forordningen kommer til at gælde for alle der behandler persondata og er etableret i EU uanset om behandlingen finder sted i EU. OG alle virksomheder, der leverer varer eller services rettet mod borgere i EU OG virksomheder, der registrerer adfærd for europæiske borgere. Eksempler hvor virksomheder jævnligt behandler persondata Administration af medarbejdere m.v. Registrering af brugeres informationer f.eks. ved brug af lagring af cookies Hosting/lagring af egne eller andre virksomheders oplysninger =>De fleste virksomheder skal altså til at rette ind! Page 11 Bird & Bird LLP 2017 Subject matter Client Details

12 Hvad er det så for krav virksomhederne skal efterleve Kort fortalt: Overholde principperne om behandling af persondata Overholde dokumentationskrav Håndtering af datasubjektets rettigheder Implementere fornødne sikkerhedsforanstaltninger Page 12 Bird & Bird LLP 2017 Subject matter Client Details

13 "Retten til at blive glemt" Hvad indebærer 'retten til at blive glemt'? Datasubjektet kan kræve at få offentligt tilgængelige personlige oplysninger slettet, hvis blandt andet: Formålet er opfyldt Samtykke tilbagekaldes, og der ikke er anden hjemmel Behandlingen er ulovlig Dog undtagelser hertil (f.eks. hvis behandlingen er nødvendig af hensyn til at kunne udøve ytringsfriheden) Hvilke forpligtelser medfører det for virksomheder? Den dataansvarlige virksomhed skal foretage alle rimelige skridt, herunder tekniske foranstaltninger, til at slette oplysningerne og informere alle tredjeparter, der behandler dataene. Store administrative omkostninger! Side 13

14 Retten til dataportabilitet Hvad er "dataportabilitet"? Datasubjekter har ret til at få udleveret og overført data om sig selv fra én dataansvarlig til en anden, hvis: Behandlingen er baseret på samtykke Behandlingen er nødvendig af hensyn til opfyldelse af en kontrakt Skal udleveres i et sædvanligt og maskinlæsbart format Den dataansvarlige må ikke hindre/besværliggøre dette Hvilke forpligtelser indebærer det? Virksomhederne skal være klar til at håndtere disse anmodninger Tekniske foranstaltninger Arbejdsgange Side 14

15 Privacy by Design / by Default Privacy by Design: Virksomheder skal ved udviklingen af nye produkter og forretningsmetoder altid tage hensyn til databeskyttelse, fx dataminimering, i de nye systemers og processers arkitektur Privacy er indlejret i it-design og ikke noget man vælger. Privacy by Default Procedurer, der som standard sikrer: At der kun behandles persondata, som er nødvendig. At data ikke indsamles og opbevares ud over det nødvendige tidsrum til de specifikke formål. Justitsministeriet: Ikke et krav at eksisterende systemer skal redesignes! Kun hvor det er muligt. Forordningen: Hensyntagen til aktuelle tekniske niveau, implementerings-omkostninger, behandlingens karakter, omfang m.v. Side 15

16 It-sikkerhed Krav til it-sikkerheden Den dataansvarlig skal implementere 'passende tekniske og organisatoriske sikkerhedsforanstaltninger' og kunne bevise dette overfor myndighederne. En del af den øgede dokumentationspligt Hvad er passende? I teknisk, fysisk og organisatorisk henseende? Fx begrænset adgang, passwords, firewall, pseudonymisering, kryptering af følsomme oplysninger osv. Evt. branchestandarder og kutymer samt ISOcertificeringer, f.eks. ISO Side 16

17 Data Protection Officers Hvad er en Data Protection Officer ('DPO')? En af virksomheden udpegede person, som fører tilsyn med overholdelse af persondataforordningen. Er din virksomhed forpligtet til at antage en DPO? Hvis offentlig virksomhed. Hvis din virksomheds "kerneaktivitet" består i behandling af personlige oplysninger. Regelmæssig og systematisk overvågning af datasubjekter i stort omfang; eller Behandling af følsomme eller strafbare oplysninger i stort omfang Side 17

18 Data Protection Officers Kerneaktiviteter Fortolkning af "kerneaktivitet" "Kerneaktivitet ": Hvis virksomhedens produkt eller tjeneste består i behandling af personoplysninger, og aktiviteterne er uløseligt forbundet hermed. Eksempelvis: - Et hospitals behandling af helbredsoplysninger. Behandling af disse oplysninger er strengt nødvendige for at kunne yde patienterne den korrekte behandling - Et sikkerhedsfirma, der foretager overvågning af fx shoppingcentre og offentlige steder og i den forbindelse behandler personoplysninger i form af optagelser - Andre eksempler kan være hostingvirksomheder (cloududbydere) Personaleadministration, IT-support, kundekontakt eller advokaters behandling af klientoplysninger = biaktivitet, selvom de er essentielle for forretningen Artikel 29-gruppen har publiceret en vejledning på dette område Side 18

19 Dokumentationskrav Fortegnelse Den dataansvarlige og databehandleren skal føre en fortegnelse over behandlingsaktiviteter: Undtagelse: Under 250 ansatte, medmindre: - Sandsynlig risiko for datasubjektets rettigheder og friheder - Behandlingen ikke er lejlighedsvis eller - Behandlingen omfatter følsomme eller strafbare oplysninger Page 19

20 Dokumentationskrav Fortegnelsen skal indeholde oplysninger om: Navn og kontaktoplysninger til: Dataansvarlig(e) Evt. DPO og evt. repræsentant Formål med behandlingen En beskrivelse af kategorier af datasubjekter og datatyper Kategorier af datamodtagere Overførsler til tredjelande Tidsgrænser for sletning Overordnet beskrivelse af teknisk og organisatorisk sikkerhed Mindre omfattende for databehandlere Page 20

21 Overførsel af oplysninger til tredjelande HR: Kræver specifik godkendelse. U1: Hvis Kommissionen har fastslået, at tredjelandet har et tilstrækkeligt sikkerhedsniveau U2: Dataansvarlig giver fornødne garantier, f.eks. Retligt bindende håndhævelsesinstrumenter Bindende virksomhedsregler (BCR) Godkendte standardbestemmelser (SCC) Godkendte adfærdskodeks, som kan håndhæves Godkendte certificeringsmekanismer, som kan håndhæves Side 21

22 Overførsel af oplysninger til tredjelande U3: Kan, i mangel af anden hjemmel, ske hvis: Der foreligger udtrykkeligt samtykke fra datasubjektet Det er nødvendigt for opfyldelse af en kontrakt Det er nødvendig aht. vigtige samfundsinteresser, retskrav eller vitale interesser Det er tale om et enkeltstående, begrænset tilfælde, hvor vægtige legitime interesser taler herfor. I praksis nok sjældent anvendelig. Side 22

23 Gode råd Undersøg om og hvordan forordningen får betydning for din virksomhed Lav GAP-analyse Hvor står vi? Hvor vil vi hen? Hvor langt er vi fra målet? Udpeg en "DPO" eller/og arbejdsgruppe Sørg for at have den nødvendige dokumentation på plads fx: Fortegnelse over behandlingsaktiviteter Samtykkeerklæringer Databehandleraftaler Anmeldelsesprocedure ved sikkerhedsbrud Interne og eksterne 'privacy policies' Risikovurderinger og konsekvensanalyser IT-sikkerhedspolitik Side 23

24 Vil du vide mere? "Persondataforordningen en håndbog for praktikere" 1. udg Se også vores guide til persondataforordningen på vores hjemmeside Side 24

25 Kontaktoplysninger Bird & Bird advokatfirma Kamilla Mondrup, advokat Telefon: Direkte: Mobil: Side 25

26 Tak for i dag BIRD & BIRD ADVOKATPARTNERSELSKAB Bird & Bird Advokatpartnerselskab er et registreret selskab i Danmark under CVR-nr Alle vores advokater er medlem af Advokatsamfundet og underlagt de advokatetiske regler fra Advokatrådet. Reglerne er tilgængelige her: BIRD & BIRD Bird & Bird LLP, er et registreret partnerskab, registreret i England og Wales under registreringsnummer OC340318, der er autoriseret og underlagt Solicitors Regulation Authority, og dets regler og retningslinier der er tilgængelige her: sra.org.uk/handbook/ For yderligere information om Bird & Bird internationalt, herunder Bird & Bird LLP, dets filialer og associerede selskaber (samlet benævnt Bird & Bird ), vores kontorer, ansatte, partnere og rådgivningsområder, brug af s og regulatoriske forhold, se vores website på twobirds.com og navnlig Legal Notices.