Persondataforordningen

Transkript

1 Persondataforordningen Den offentlige uddannelsesdag, 4. oktober 2013 Ved partner Thomas Munk Rasmussen og persondataspecialist, ph.d. Charlotte Bagger Tranberg

2 2 Aktuelt persondataret Brud på sikkerheden - Hvad gør man som offentlig dataansvarlig? Organisatoriske sikkerhedsbrud Fysiske sikkerhedsbrud Systemmæssige sikkerhedsbrud - Kameraovervågning

3 3 Den retlige ramme for persondatareguleringen Nu: Direktiv fra div. Særregler (bl.a. direktiv 2002/58/EF (e-privacy) og forordning 611/201 (obligatorisk underretning af sikkerhedsbrud). Fra 1. december 2009 tillige - Traktaten om den Europæiske Unions Funktionsmåde, art Den Europæiske Unions Charter om Grundlæggende Rettigheder, art. 7 og 8 Kommissionens forslag til en persondataforordning, KOM(2012)11 af 25. januar 2012

4 4 VALG AF RETSAKT og anvendelsesområde Valg af retsakt - Karakteristik af direktiver - Karakteristik af forordninger Anvendelsesområde: - Behandling af personoplysninger, som helt eller delvis foretages automatisk (må være elektronisk) - Anden behandling end elektronisk behandling af personoplysninger, som er eller vil blive indeholdt i et register

5 5 Territorialt anvendelsesområde Dataansvarlig/databehandlers (offentlig/privat) behandling af oplysninger gennemført af i EU Registrerede bosiddende i EU dataansvarlig ikke etableret i EU - Udbud af varer/tjenesteydelser til registrerede bosiddende i EU - Overvågning af registreredes adfærd

6 6 Definitioner Betydning af forordning Personoplysning Registreret Registeransvarlig/registerfører ifht. dataansvarlig/databehandler Samtykke altid udtrykkeligt Brud på persondatasikkerheden Genetiske og biometriske data Helbredsoplysninger

7 7 Principper og retligt grundlag Principper Betingelser for samtykke Interesseafvejningen Senere behandling til uforenelige formål Særligt om børn Følsomme oplysninger Behandlinger, som ikke muliggøre identifikation

8 8 Den registreredes rettigheder Gennemsigtighed Information og adgang til oplysninger Berigtigelse og sletning Dataportabilitet Indsigelse og profilering Begrænsninger ulogisk placering

9 9 Dataansvarlig og databehandler Pligt til indførsel af passende foranstaltninger sikre og påvises, at foretaget behandling er i overensstemmelse med forordningens regler Information om brud på sikkerheden Privacy Impact Assessment konsekvensanalyse, hvis ikke foretaget i forbindelse med vedtagelse af national/eu-lovgivning Afskaffelse af anmeldelsesordningen dokumentationskrav Dog krav om forudgående godkendelse i udvalgte situationer Krav om forudgående høring: PIA store konkrete risici

10 10 Dataansvarlig og databehandler Data Protection by Design Data Protection by Default

11 11 Databeskyttelsesansvarlig (DPO) Offentlige organer (virksomheder > 250 ansatte, kerneaktivitet indgående behandling af personoplysninger) Offentlige myndigheder/organer udpege én fælles dataansvarlig for flere enheder i overensstemmelsen med struktur Udpeges på grundlag af: - Faglige kvalifikationer - Ekspertise inden for persondatalovgivning og praksis - Evne til at udføre de opgaver, der ligger i hvervet Dataansvarlig/databehandler sikrer at DPO inddrages i alle spørgsmål vedr. beskyttelsen af personoplysninger

12 12 Samarbejde og sammenhængsmekanisme Gensidig bistand og udveksling af oplysninger mellem tilsynsmyndighederne Sammenhængsmekanisme - Tilsynsmyndigheder - Kommissionen - Det Europæiske Databeskyttelsesråd

13 13 Administrative SANKTIONER Skriftlig advarsel kun fysiske personer eller virksomheder < 250 ansatte Bøde op til (eller 0,5% af den årlige globale omsætning) Bøde op til (eller 1% af den årlige globale omsætning) Bøde op til (eller 2% af den årlige globale omsætning) KL cloud sag

14 14 Hvor står processen nu? Rapport fra LIBE committe (Europa-Parlamentet), 10. januar Udvidelse af det territoriale anvendelsesområde - Flere definitioner - Ændring i muligheden for at anvende interesseafvejningsreglen som behandlingsgrundlag - Styrkelse af den registreredes rettigheder - Pligt til underretning ved sikkerhedsbrud 24 timer 72 timer

15 15 Hvor står processen nu? Rapport fra Ministerrådet for retlige og interne anliggender, 31. maj Valg af retligt instrument (forordning/direktiv) - Indsnævring af forordningens anvendelsesområde - Mere risiko-baseret ramme - Pseudonymiserede data ny oplysningskategori - Utvetydigt samtykke i stedet for udtrykkeligt - Indsnævring af mulighederne for samtykke

16 16 Hvordan kan offentlige myndigheder konkret forholde sig til forordningsudkastet? Udpege relevante medarbejdere - Herunder overveje om der skal ansættes en DPO eller om der findes en kompetent intern person Uddanne medarbejdere i generel persondataret på forskellige niveauer Begynde at dokumenterer datastrømme

17 17 Kontakt Thomas Munk Rasmussen Partner København IP & Technology T M E [email protected] Charlotte Bagger Tranberg Persondataspecialist Aarhus IP & Technology T M E [email protected]

18 København Langelinie Allé København Ø Danmark Aarhus Frue Kirkeplads Aarhus C Danmark Shanghai, rep.kontor 83 Loushanguan Road, Suite 2635, 26/F Shanghai, Kina T F E [email protected]