KONKRET HÅNDTERING AF PERSONDATAFORORDNINGEN

Transkript

1 KONKRET HÅNDTERING AF PERSONDATAFORORDNINGEN Torsdag den 2. februar 2017

2

3 PERSONDATARETTEN PÅ 60 SEKUNDER

4 PERSONDATA PÅ 60 SEKUNDER DATA Persondata Enhver form for data Regulering alt efter type, f.eks. Aftaleret (aftale om brug) Ophavsret (databaser) Erhvervshemmeligheder Normalt ikke så vanskeligt Enhver form for information om en identificeret eller identificerbar fysisk person => Kan personen findes, er det persondata også selvom det er næsten umuligt Særlig regulering!

5 PERSONDATA PÅ 60 SEKUNDER Persondata omfatter f.eks.: Direkte: Navn, adresse, telefonnummer, osv. Indirekte: Kundenummer, referencer, billeder, lyd osv. Umulige : IP-adresser, eksterne kundenummere, krypterede data osv. Persondata omfatter f.eks. ikke: Teknisk data Annonyme data forudsat data ikke kan de-annonymiseres, f.eks.: dektyptering af krypteret data

6 PERSONDATA PÅ 60 SEKUNDER Almindelige oplysninger Udgangspunktet Alle personoplysninger, der ikke er en af de to andre Alm. behandlingskrav Følsomme oplysninger Racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold Skærpede behandlingskrav ud over alm. krav Rent private oplysninger Strafbare forhold, væsentlige sociale problemer og andre rent private forhold Skærpede behandlingskrav ud over alm. krav Forskel på offentlig og privat behandling Personnummer Meget begrænset behandling

7 PERSONDATA PÅ 60 SEKUNDER Registreret Fysisk person oplysningerne identificerer Den hele beskyttelsen omhandler Dataansvarlig Dataejeren Bestemmer over oplysningerne om den registrerede Fuldt ansvarlig for reglernes overholdelse Databehandler (Under)leverandør Behandling af oplysninger om registrerede på vegne af dataansvarlig Kun ansvar for behandlingen ( indtil videre)

8 PERSONDATA PÅ 60 SEKUNDER To grundlæggende regeltyper (meget forsimplet) Materielle behandlingsregler Hvornår må og kan man behandle persondata Håndterings- og beskyttelsesregler Hvordan skal behandlingen foregår Hvordan skal behandlingen dokumenteres Sikkerhedskrav Jo mere følsomme personoplysninger, des mindre manøvrerum for behandling.

9

10 RETSGRUNDLAG I DAG Direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. Persondataloven trådte i kraft 1. juli 2000 Ny Persondatoforordning får virkning den 25. maj 2018 Omfattende speciallovgivning, bl.a. sundhedsloven

11 PERSONDATAFORORDNINGEN Ny forordning om persondata vedtaget i april 2016 og offentliggjort i Official Journal of the European Union den 4. maj Forordningen trådte i kraft den 25. maj Forordningen for dog først virkning fra den 25. maj Officielle titel er General Data Protection Regulation (GDPR) Forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger - Forordning 2016/679 Forordningen gælder direkte og umiddelbart for alle EU medlemsstater. Forordningen erstatter 1995-direktivet og 28 medlemsstaters lovgivning Formål: Harmonisering minimumsregulering

12 OVERBLIK OVER FORORDNINGEN Kapitel I Generelle bestemmelser Art. 1-4 Kapitel IV Dataansvarlig og databehandler Art Kapitel VII Samarbejde og sammehæng Art Kapitel X Delegerede retsakter Art Kapitel II Principper Art Kapitel V Overførelse af personoplysninger til tredjelande Art Kapitel VIII Retsmidler, ansvar og sanktioner Art Kapitel XI Afsluttende bestemmelser Art Kapitel III Den registreredes rettigheder Art Kapitel VI Uafhængige tilsynsmyndigheder Art Kapitel IX Bestemmelser vedrørende specifikke behandlingssituationer Art

13 OMFANG Personoplysninger er Persondataloven Enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede) Persondataforordningen»personoplysninger«:enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet

14 OMFANG Persondataloven (indtil 25. maj 2018) behandling af personoplysninger som helt eller delvis foretages ved hjælp af elektronisk databehandling og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register anden ikke- elektronisk systematisk behandling, som udføres for private Persondataforordningen (fra 25. maj 2018) Behandling af personoplysninger der helt eller delvis foretages ved hjælp af automatisk databehandling og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register

15 NU BEGYNDER VI

16 PRINCIPPER FOR BEHANDLING AF PERSONOPLYSNINGER Personoplysninger skal: GDPR Art. 5(1) a) behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«) b) indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål; viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, skal ikke anses for at være uforenelig med de oprindelige formål (»formålsbegrænsning«) c) være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«) d) være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges (»rigtighed«)

17 PRINCIPPER FOR BEHANDLING AF PERSONOPLYSNINGER e) opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles; personoplysninger kan opbevares i længere tidsrum, hvis personoplysningerne alene behandles til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, under forudsætning af, at der implementeres passende tekniske og organisatoriske foranstaltninger, som denne forordning kræver for at sikre den registreredes rettigheder og frihedsrettigheder (»opbevaringsbegrænsning«) f) behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).

18 PRINCIPPER FOR BEHANDLING AF PERSONOPLYSNINGER GDPR Art. 5(2) Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«).

19 PRINCIPPER FOR BEHANDLING AF PERSONOPLYSNINGER GDPR. Art Den dataansvarliges ansvar 1.Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt revideres og ajourføres. 2.Hvis det står i rimeligt forhold til behandlingsaktiviteter, skal de foranstaltninger, der er omhandlet i stk. 1, omfatte den dataansvarliges implementering af passende databeskyttelsespolitikker. 3.Overholdelse af godkendte adfærdskodekser som omhandlet i artikel 40 eller godkendte certificeringsmekanismer som omhandlet i artikel 42 kan bruges som et element til at påvise overholdelse af den dataansvarliges forpligtelser.

20 DATABESKYTTELSE I VIRKSOMHEDEN TEKNISKE SIKKERHEDSFORANSTALTNINGER Hvem har adgang til hvilke data? (arbejdsbetinget behov) Hvad kan der ske med disse persondata? Authorization Hvor sikre er vi på, at alt foregår som det skal? Subject Object Hvordan kan vi følge op på om processen og retningslinjerne efterleves? både så vi ved om autoriserede følger reglerne og at uautoriserede ikke opnår adgang Audit Hvornår må der være adgang til persondata? Der er en tendens til at underkende risici ved den interne arbejdspraksis! fx intern deling, godkendelses processer og adgang til persondata

21 PERSONDATA OG IT-AFDELINGEN Metoder og kontroller ISO ISO ISO ISO ISO31000 ISAE3000 SOC2 (Informationsteknologi Sikkerhedsteknikker - Arkitektur for beskyttelse af personfølsomme oplysninger) (Informationsteknologi Sikkerhedsteknikker Rammer for arkitektur for beskyttelse af personfølsomme oplysninger) (Informationsteknologi Sikkerhedsteknikker Ledelsessystemer for informationssikkerhed) (Informationsteknologi Sikkerhedsteknikker Regelsæt for styring af informationssikkerhed) (Risikoledelse - Principper og vejledning) (Assurance Engagements Other than Audits or Reviews of Historical Financial Information) (Report on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality or Privacy)

22 IT sikkerhed GDPR compliance Men IT-sikkerhed er en del af det at være GDPR complient You can have security without privacy but you cannot have privacy without security Sikkerhed og Pricacy er et linjeansvar og ikke en funktion eller enkel rolle

23 VEJEN TIL AT PÅVISE COMPLIANCE

24 ACCOUNTABILITY GDPR Art. 5(2) Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«). GDPR Art. 24(1) Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt revideres og ajourføres

25 ACCOUNTABILITY Accountability inbefatter bl.a. Implementere de fornødne tekniske og organisatoriske foranstaltninger, der sikrer, og viser, at du overholder reglerne. Dette kan omfatte implementering af interne databeskyttelses politikker, regler og procedurer uddannelse af personale / awareness interne revision af behandlingsaktiviteter Vedligeholde dokumentation for behandlingsaktiviteter Kortlægge repository af persondata Udpege en DPO hvor relevant Implementere Privacy by Design og Privacy by Default Implementere DPIA Systematisere opgaver og dokumentation i et persondataprogram / privacy framework

26 PRIVACY BY DESIGN GDPR Art. 25 Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer, gennemfører den dataansvarlige både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder.

27 PRIVACY BY DESIGN Persondatabeskyttelse skal indtænkes som et iboende element af produkter, services og processer

28 PRIVACY IMPACT ASSESSMENT Artikel 35 Konsekvensanalyse vedrørende databeskyttelse 1. Hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, foretager den dataansvarlige forud for behandlingen en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger. En enkelt analyse kan omfatte flere lignende behandlingsaktiviteter, der indebærer lignende høje risici.

29 PRIVACY IMPACT ASSESSMENT 4.Tilsynsmyndigheden udarbejder og offentliggør en liste over de typer af behandlingsaktiviteter, der er underlagt kravet om en konsekvensanalyse vedrørende databeskyttelse i henhold til stk. 1. Tilsynsmyndigheden indgiver disse lister til det i artikel 68 omhandlede Databeskyttelsesråd. 5.Tilsynsmyndigheden kan også udarbejde og offentliggøre en liste over de typer af behandlingsaktiviteter, for hvilke der ikke kræves nogen konsekvensanalyse vedrørende databeskyttelse. Tilsynsmyndigheden indgiver disse lister til Databeskyttelsesrådet.

30 PRIVACY IMPACT ASSESSMENT Konsekvensanalyser er fundamentale for forståelsen af ens persondatabehandling og de risici sådan behandling indebærer. Uden konsekvensanalyser er det svært at fastlægge omfanget af passende og tilstrækkelige sikkerhedsforanstaltninger. Kommissionen har varslet høje bøder!

31 PRIVACY PROGRAM

32 HVORDAN KOMMER MAN I GANG? Indledende opgaver Definer scope og bevillinger Fastlæg den overordnede politik Etabler en persondata strategi /vælg rammeværk Strukturer teamet!

33 PRIVACY MANAGEMENT HVAD ER DET? Udform en vision/mission for virksomhedens persondatabehandling: Vision: En ønskværdig, fremtidig tilstand og den ledestjerne, som en virksomhed forfølger. Visionen har en længere horisont end missionen og fortæller om de langsigtede mål for virksomheden. Mission: En nutiden tilstand eller et mål for den kortere tidshorisont end visionen. Missionen sætter rammen for de redskaber, og holdninger, der gør det muligt at udleve missionen for virksomheden.

34 PRIVACY MANAGEMENT HVAD ER DET? Vision/mission bør forholde sig til i det mindste: Værdien virksomheden lægger i privacy De ønskede mål der tilstræbes Strategi for hvordan mål opnås Klarlægning af roller og ansvar

35 PRIVACY MANAGEMENT HVAD ER DET? Opbyg rammeværk, som bør forholde sig til i det mindste: Organisationsstruktur og ansvar Kortlægning af data og processer Opbygning af politikker, regler og procedurer Awareness Breach management Kommunikation med de registrerede

36 TEAMET Privacy framework roller og ansvar Executive privacy program owner Den øverste ansvarlige i direktionen Chief privacy officer Daglig ledelse og ansvar for implementering og vedligeholdelse af privacy framework program Privacy officer/privacy manager Den ansvarlige indenfor en forretningsenhed eller for et produkt Data Protection Officer (DPO) Udpeget uafhængig rådgiver med reference til øverste ledelse Security Officer IT-manager HR-manager

37

38 DATAMAPNING

39 DATAMAPNING Hvem indsamler PII Hvilke typer PII og hvilke lovkrav er der til behandling Hvor opbevares data? Hvordan indsamles data? Hvorfor indsamles data? Særlige lovkrav? Hvilken information er undergivet særkrav? Hvem håndhæver regulatoriske krav og hvordan - sanktionsniveau? Hvorfor er reglerne der?

40 EKSEMPLIFICERING

41 EKSEMPLIFICERING

42 KONTROLLER Opstilling af kontroller skal muliggøre at virksomheder kan påvise, at persondata behandles på lovlig vis. Kontroller mapper forpligtelser fra lovgivning, branche-standarder mv. op og opsætter målepunkter. Eksempelvis NYMITY Framework

43 KONTROLLER Målepunkter /Metrics / KPI Hvis der ikke opstilles målepunkter og måles, kan man ikke forbedre sig. Målepunkter virker derfor også som KPI er, som defineres i forhold til opnåelse af mål og formål. Målepunkter skal være: Målbare Meningsfulde klart definerede indikative for fremskridt/tilbageskridt være i stand til at besvare konkrete spørgsmål

44 SPØRGSMÅL OG DEBAT

45 SØREN WOLDER Advokat(L), LL.M, Partner Persondataret specialist Rådgiver bl.a. om Persondata IT-kontrakter Immaterialret Compliance Medlem af International Association of Privacy Professionals og Dansk Forening for Persondataret DAHL siden