Persondataforordningen: Første danske fortolkningsbidrag

Transkript

1 Persondataforordningen: Første danske fortolkningsbidrag 27. juni Agenda Status på persondataforordningen og tidsplan Persondatakategorier De registreredes rettigheder Ansvarlighed, dokumentationskrav og fortegnelse Behandlingssikkerhed, sikkerhedsbrud og konsekvensanalyser Cloud-løsninger og krigsreglen Databeskyttelsesrådgiver (Data Protection Officer/DPO) Tredjelandsoverførsler Sanktioner/bøder 1

2 3 Status på persondataforordningen og tidsplan 4 Status på forordningen og tidsplan Forordning 679/2016 Justitsministeriets betænkning nr Offentliggørelse af lovforslag: Uge fremsættes i Folketinget til efteråret Vejledninger 2

3 5 Vejledninger praktisk anvendelige Emne Offentliggørelse Generel informationspjece om forordningen September 2017 Databeskyttelsesrådgiver (DPO) September 2017 Overførsel af personoplysninger til tredjelande September 2017 Dataansvarlige og databehandlere Oktober 2017 Samtykke Oktober 2017 Fortegnelse November 2017 Adfærdskodekser og certificeringsordninger December 2017 Behandlingssikkerhed December 2017 Databeskyttelse gennem design og standardindstillinger December 2017 Konsekvensanalyse (DPIA) December 2017 Cloud computing December 2017 Håndtering af brud på persondatasikkerheden Januar 2018 Registreredes rettigheder Januar 2018 Betænkningen står ikke alene Samarbejde mellem Justitsministeriet, Digitaliseringsstyrelsen og Datatilsynet Fokus på eksempler 6 Betænkning 1565/2017 Formål med udførlig analyse i betænkningen Bidrag til fortolkning af forordningen (svarer til gældende ret hhv. nyskabelser) Beskrivelse af gældende ret = (nødvendigt) grundlag for overvejelser om, i hvilket omfang der er behov for at tilpasse danske regler til forordningen (nationalt råderum) Forordningens konsekvenser for gældende dansk særlovgivning: De fleste identificerede bestemmelser kan opretholdes På den baggrund vil der for myndighed og private organisationer, der i forvejen lever op til persondataloven, ikke med forordningen være tale om omfattende ændringer. (s. 16) Persondataloven 2.0 Persondataforordningen (databeskyttelsesforordningen) Hvor retstilstanden ikke kan anses for entydig, indeholder betænkningen i vidt omfang forslag til mulige løsninger. De regler i den nugældende persondatalov, som svarer til forordningens anvendelsesområde, skal ophæves (forordningen er almengyldig) 3

4 7 Nyskabelser i persondataforordningen iht. Justitsministeriet Analysearbejdet har vist, at forordningen i vidt/stort omfang svarer til den gældende danske retstilstand efter persondataloven og persondatadirektivet med tilhørende praksis fra bl.a. EU-Domstolen og Datatilsynet. Centrale bestemmelser om anvendelsesområde Definitioner Principper for behandling af personoplysninger Registreredes rettigheder Behandlingssikkerhed Nyskabelser i forhold til den gældende retstilstand, fx Data Protection Officer (DPO) Data Protection Impact Assessment Fortegnelser over behandlingsaktiviteter Data protection by design 8 Hvor meget nyt er der (teoretisk) i persondataforordningen? Persondataloven 4

5 9 Hvor meget nyt er der (reelt) i persondataforordningen? Persondataloven 10 Tale om en evolution ikke en revolution Kilde: Kilde: og egen redigering 5

6 11 Persondatakategorier 12 Oplysningskategorier Almindelige oplysninger Semi-følsomme oplysninger Følsomme oplysninger CPR-nr. Fx Navn Adresse Persondataloven Oplysninger om strafbare forhold Sociale problemer Andre rent private forhold end følsomme oplysninger Racemæssig eller etnisk baggrund Politisk, religiøs eller filosofisk overbevisning Fagforeningsmæssige tilhørsforhold Oplysninger om helbredsmæssige eller seksuelle forhold Offentlige myndigheder: Mhp. entydig identifikation/journalnummer Private virksomheder: Lovbestemmelse/samtykke Aldrig offentliggørelse uden samtykke Persondataforordningen Også Oplysninger om strafbare forhold * Sociale problemer Andre rent private forhold end følsomme oplysninger Racemæssig eller etnisk baggrund Politisk, religiøs eller filosofisk overbevisning Fagforeningsmæssige tilhørsforhold Behandling af genetiske data eller biometriske data med henblik på unik identifikation Oplysninger om helbredsmæssige eller seksuelle forhold Medlemsstater kan fastsætte specielle betingelser, dog krav om tilstrækkelige sikkerhedsforanstaltninger 6

7 13 Generelle principper for behandling De gældende grundlæggende principper for behandling af personoplysninger videreføres med persondataforordningen: 1. Lovlighed, rimelighed og gennemsigtighed 2. Formålsbegrænsning 3. Dataminimering 4. Rigtighed Urigtige oplysninger skal som udgangspunkt slettes straks hurtigere end efter gældende ret 5. Opbevaringsbegrænsning 6. Integritet og fortrolighed Behandlingssikkerhed skal tillægges stor betydning i forbindelse med behandling af personoplysninger efter forordningen Accountability: Præcisering af, at det er den dataansvarlige, som skal kunne påvise i modsætning til databeskyttelsesdirektivets krav om, at den dataansvarlige skal sikre at behandlingsprincipperne skal overholdes, og dette ligger fint i tråd med, at der i øvrigt i forordningen generelt lægges stor vægt på ansvarlighed (accountability) 14 Behandlingsreglerne I store træk en videreførelse af gældende ret Nye krav til samtykke aktivt oplyse om mulighed for at trække samtykke tilbage Ikke krav om indhentelse af nye samtykker dog hensigtsmæssigt, at oplyse herom, hvis praktisk muligt Lettere adgang til deling af personoplysninger i koncern-relationer (interne administrative formål) Særlig opmærksomhed på behandling af oplysninger om børn Interesseafvejningsreglen for offentlige myndigheder forvaltning og drift Der er mulighed for at fortolke en opgave i samfundets interesse bredt, således at det er mest nærliggende at antage faktisk forvaltningsmyndighed kan rummes inden for begrebet. Gælder også, når offentlige myndigheder behandler oplysninger som arbejdsgiver = samfundets interesse Videoovervågning, overvågning af s og personaleevalueringer Opretholdelse af særregler myndigheder skal overveje: Ønskes særreglen opretholdt? Kan hjemlen findes i persondataforordningen? Fastsætter reglen specifikke krav til behandling og andre foranstaltninger? Formålet med behandlingen skal være fastlagt/fastlægges i lovgivningen (lov med forarbejder) Proportionalitet og overholde persondataforordningens grundlæggende principper 7

8 15 De registreredes rettigheder 16 Oplysningspligt (art ) Nye krav Kontaktoplysninger på dataansvarlig, kontaktoplysninger på DPO Retsgrundlag (ikke kun formål) Der skal henvises til fx specifikt kapitel i forordning, lov eller bekendtgørelse. Hvor interesseafvejningsreglen anvendes (art. 6, stk.1, litra f), skal der redegøres for de legitime interesser, der forfølges. Kategorier af modtagere fx samarbejdspartnere, offentlige myndigheder Overførsel af personoplysninger til tredjeland og hvordan et tilstrækkeligt sikkerheds niveau opnås Tidsrum for opbevaring eller kriterier der anvendes for at fastlægge perioden fx forældelsesfrister (slettefrist i overensstemmelse med art. 30) 8

9 17 Oplysninger som kun skal gives hvor det er nødvendigt (rimelig og gennemsigtig behandling) Ingen pligt til at oplyse, hvis ikke relevant i forhold til den aktuelle behandling Pligt til at oplyse om mulighed for at trække samtykke tilbage Pligt til at oplyse om den registreredes rettigheder (indsigelse, indsigt, berigtigelse, sletning, dataportabilitet og begrænsning ) og klagemuligheder Om afgivelse af oplysninger er en betingelse iht. kontrakt eller for indgåelse af kontrakt (fx indhentelser af referencer) Udtagelser til oplysningspligten (hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til private eller offentlige interesser) samme findes ikke efter forordningen JM: Mulighed for at opretholde PDL 30 i ny persondatalov 18 Indsigtsret (art. 15) Nye krav 6 måneders reglen bortfalder fremover kan indsigt kræves med rimeligt mellemrum Skal gives elektronisk hvis anmodning gives elektronisk Gratis - dog rimeligt gebyr baseret på administrative omkostninger for yderligere anmodninger (grundløse eller overdrevne) loft på 200 kr. bortfalder Offentlige myndigheder: Der kræves i almindelighed lovhjemmel før der må opkræves gebyrer Vejledningspligten i forvaltningslovens 7 pligt til at indgå dialog med den registrerede for at få begrænset anmodningen, så den ikke længere er overdreven. Frist for besvarelse: 1 måned kan forlænges med 2 måneder fx pga. kompleksitet Indsigten må ikke krænke andres rettigheder eller frihedsrettigheder (præambel 63 forretningshemmeligheder, immaterielle rettigheder) 9

10 19 Ret til sletning (art. 17) Ret til sletning retten til at blive glemt JM siger: overordnet set en videreførelse af gældende ret men eksisterer compliance med de nuværende regler? Samspil med andre bestemmelser fx reglerne vedr. samtykke og legitime behandlingsgrunde Evt. lovkrav om fortsat opbevaring eller for at et retskrav kan gøres gældende eller fastlægges fx bogføringsloven eller forældelsesfrister Art. 17 indeholder ikke en selvstændig ret til at blive glemt i den offentlige sektor pga. dokumentation for afgørelser i stedet berigtigelse (notat på sagen) 20 Ret til dataportabilitet (art. 20) Ny bestemmelse Ret til under visse betingelser at modtage, bruge og videreanvende sine oplysninger hos en ny dataansvarlig eller få transmitteret oplysninger direkte til en ny dataansvarlig Behandling baseret på samtykke eller kontrakt (ikke lov fx hvidvaskloven) Behandling foretaget automatisk Skal være i almindeligt anvendt, struktureret og maskinlæsbart format Betyder nu at den registrerede ikke længere er fastlåst som bruger af et bestemt medie fx Facebook. Nu mulighed for at få fx liste over kontaktoplysninger fra webmail udbyder, løberuter fra fitnessapps, spillelister fra musiktjenester mv. Ikke muligt at få oplysninger om kreditvurderinger, helbredsvurderinger eller andre resultater genereret ud fra en algoritme mv. 10

11 21 Automatiske individuelle afgørelser, herunder profilering (art. 22) Delvis videreførelse af PDL 39 Databeskyttelsesretlig ingen skøn under regel - bestemmelse Ret til ikke at være genstand for en afgørelse, som alene er baseret på automatisk behandling herunder profilering (for at analysere og forudsige fx arbejdsindsats, økonomi, helbred, præferencer, interesser mv.) Eksempler: Kreditvurdering Kundeprofiler Personlighedsanalyser Undtagelser: Nødvendig for indgåelse/opfyldelse af kontrakt Hjemmel i EU-ret/national ret (fx SU-loven) Baseret på registreredes udtrykkelige samtykke Udgangspunkt: ingen profilering af børn 22 Ansvarlighed, dokumentationskrav og fortegnelse 11

12 23 Ansvarlighed og dokumentationskrav Princippet om ansvarlighed (Art. 5(2)) Påvise at stk. 1 overholdes JM: Bevisbyrden ligger hos dataansvarlige, men ingen nærmere input Den dataansvarliges ansvar (art. 24) Påvise at behandlingen er i overensstemmelse med forordningen JM siger: intet nyt udover at det nu er eksplicit krav Vi læser en fokus fra JM i betænkningen på: Risikovurderingen er helt central, da det er afgørende for de valg omkring compliance og dokumentation, som den dataansvarlige skal træffe. Fx for om og i givet fald, hvilke politikker (art. 24, stk. 2, hvis det står i rimeligt forhold til ) Selvfølgelig også for de øvrige tekniske og organisatoriske sikkerheds foranstaltninger (art. 32) Metodefrihed, (fx adfærdskodekser (stk. 3)) Ajourføring og revurdering løbende efter risikovurdering Standpunktsrisiko Vejledning forventes december Fortegnelsen Fortegnelsen over behandlingsaktiviteter (art. 30): Erstatter generelle anmeldelsespligt, Må ikke føres (alene) fysisk eller efter hukommelsen Ikke omfattet af indsigtsretten OFL kan give indsigt i offentlige myndigheders fortegnelse JM: formålet med ikke at skulle anmelde er at fokusere på effektive procedurer og mekanismer for de typer af behandlinger, der indebærer størst risiko for de registrerede rettigheder og frihedsrettigheder (B: 450) JM har et forslag på en generel personaleadministrationsfortegnelse (B:459) Kilde: Betænkning

13 25 Fortegnelsen (fortsat) Hvor generel kan fortegnelsen være? Antager, at organisationer kan formulere et logisk, sammenhængende formål for en række behandlinger Fx: Private organisationer fx HR, kundekartotek, whistleblower-ordning Fx: Offentlige myndigheder fx vielse, pension, beskæftigelse Hvornår er noget hvis muligt (art. 30(1)(g)) Gælder for slettefrister samt tekniske og organisatoriske sikkerhedsforanstaltninger JM lægger op til at art. 32 og art. 5 pålægger at sikre dette. Mao. det skulle gerne altid være muligt Eksisterende anmeldelser hos tilsynet? JM: I vidt omfang genbruges til at leve op til art. 30 (med forbehold) 26 Fortegnelsen (fortsat) Fritaget for at kravet om fortegnelser er: Foretagende og organisationer < 250 beskæftigede personer Dvs. gælder således ikke offentlige virksomheder Med mindre behandlingen Medfører risiko for registreredes rettigheder og frihedsrettigheder, Ikke er lejlighedsvis, eller Der indgår art. 9 eller art. 10 oplysninger JM: meget snæver undtagelse i praksis!! FX: HR behandlinger? Nej ikke fritaget, da det ikke er lejlighedsvis Medlemskartotek eller kundekartotek? Som databehandler; fx IT hus får konsulentopgave på en kundes meget store CRM system med alle kundedatasæt? Og hvad hvis det er mindre datasæt? November 2017 vejledning om fortegnelse 13

14 27 Behandlingssikkerhed, sikkerhedsbrud og konsekvensanalyser 28 Behandlingssikkerhed (art. 32) Beskrivelser af gældende ret (og informationssikkerhedstilgang) NYT: der skal være en dokumenteret risikoanalyse for at leve og til art. 32 (og art. 30, som nævnt) Dokumentering af til- og fravalg Metodefriheden for tilgangen til sikkerhedsvurdering (PIA, tiltag, implementering, kontroller,) Konsekvensanalyse er mere vidtgående end grundkravet til PIA 14

15 29 Anmeldelse af sikkerhedsbrud (art. 33) Anmeldelse af sikkerhedsbrud (art. 33) bekendt med JM: fortolkes i lyset af e-privacy direktivernes tilsvarende krav til udbydere af offentlige kommunikationsnet, og forordning 611/2013 i fht. krav til underretning på teleområdet usandsynligt at : rimelig høj grad af sikkerhed for at det er usandsynligt Fx tab af medie med persondata men med en så stærk kryptering at det ikke inden for en årrække kan brydes (128b, 256b, 4096b eller mere) Dekrypteringsnøgle ikke kompromitteret eller generet på en teknisk sikker vis fx ved hashing 30 Underretning af registrerede ved sikkerhedsbrud (art. 34) Hvornår skal der foretages underretning? Sandsynligvis høj grad af risiko for rettigheder og frihedsrettigheder alle mulige konsekvenser og negative virkninger Fx: Diskrimination, identitetstyveri eller svindel, økonomisk, tab skade på omdømme, tab af fortrolighed Indirekte negative konsekvenser kan også inddrages Fx tab af brugernavn og kode: hvis brugerne anvender samme kode på andre tjenester(!) Uden unødig forsinkelse. Formålet er at give mulighed for at træffe forholdsregler. Dvs. jo mere akut skadesrisikoen er, jo hurtigere skal underretning ske til de registrerede Undlade underretning? Passende tekniske eller organisatoriske foranstaltninger (fx med tab af krypteret medie) Passende efterfølgende foranstaltninger så høj risiko ikke længere er reel Fx IT-system har i periode haft utilsigtet sårbarhed med adgang til oplysninger, men logs kan entydigt afskære at uautoriserede har haft adgang JM mener her er tale om en tydeliggørelse af god databehandlingsskik Men flere og strammere krav, herunder skal alle foranstaltninger og valg dokumenteres. Husk alle foranstaltning, der træffes er gratis for den registrerede (fremgår af art. 12(5)) Mere hjælp: Januar 2018 vejledning fra JM, EDPB opgave at give guidance til best practice (art. 70), WP

16 31 Konsekvensanalyser (art. 35) Bemærk: Betænkningen indeholder ikke henvisning til WP 248 om Guidelines on DPIA (vejledning og forslag til tjekskema til udarbejdelse) Understreger, at konsekvensanalyser er reserveret til visse særlige tilfælde Ikke for eksisterende systemer, med mindre risikobilledet konkret ændrer sig efter 25. maj 18 Hvis risikoen er høj, skal der ske forudgående høring efter art. 36 JM: hvis tilsynet ikke tilkendegiver, at det overtræder forordningen, så er det ikke en godkendelse eller blåstempling af behandlingen BB: svært at undlade at inddrage i en Art. 83-vurdering som (stærkt) formildende omstændighed 32 Cloud-løsninger og krigsreglen 16

17 33 Cloud-løsninger og krigsreglen Betænkningen indeholder et temaafsnit om cloud computing og persondataregulering - ingen overraskelser deri! Forordningen omfatter sådanne tjenester, men er teknologineutral i forhold til de enkelte tjenester Krigsreglen (PDL 41, stk. 4) Bortskaffelses/tilintetgørelses-overvejelsen af oplysninger, der er særlig interesse for fremmede magter ved krig eller lign. Forordningen gælder ikke forhold omkring statens sikkerhed (pb#16) JM: Krigsregel kan opretholdes MEN overraskende siger JM: selvom den kan, er det nærliggende at overveje indretningen Siden PDL ikrafttræden i 2000 sket betydelig teknologisk udvikling Dvs. behandling inden for Danmarks grænser, er ikke længere en garanti for bortskaffelse eller tilintetgørelse Kravet vil måske kunne opfyldes ved sikkerhedsmodel 34 Databeskyttelsesrådgiver (Data Protection Officer/DPO) 17

18 35 DPO-rollen (art ) Hvem har pligt til at udpege en DPO? Offentlige myndigheder (undtagen domstole) offentlig myndighedsudøvelse FVL 1, stk. 1-2 opgave i samfundets interesse eller i forbindelse med Private virksomheder, hvis kerneaktivitet består af databehandling, der i medfør af deres karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede i stort omfang Private virksomheder, hvis kerneaktivitet består af databehandling i stort omfang af særlige kategorier af personoplysninger eller oplysninger om straffedomme og straffelovsovertrædelser DPO en udpeges på baggrund af sine faglige kvalifikationer herunder persondataretlig ekspertise påser, at GDPR overholdes og rådgiver ledelsen i den forbindelse inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger skal være uafhængig og må ikke modtage instrukser vedrørende udførelsen af sine opgaver kan udføre andre opgaver og have andre pligter, så længe det ikke medfører en interessekonflikt 36 Obligatorisk DPO Dataansvarliges pligt til at udpege en DPO ctr. databehandleres pligt til at udpege en DPO Medfører DPO-pligt hos den dataansvarlige automatisk DPO-pligt hos dennes databehandlere og vice versa? Offentlige myndigheder Offentlige opgaver der varetages af private (fx forsyningsselskaber, public service broadcasting mv.) Brug af private databehandlere 18

19 37 Kerneaktiviteter, regelmæssig og systematisk overvågning i stort omfang kerneaktiviteter Behandling der en nødvendig følge af den dataansvarliges eller databehandlerens hovedaktivitet ikke behandling af personoplysninger som biaktivitet Fx hosting og/eller lagring af personoplysninger, herunder cloud-løsninger, marketingundersøgelser Privathospitaler, forsikringsselskaber og banker Ikke fx persondaleadministration eller almindelig kundekontakt/support som biaktivitet Ikke forsyningsselskaber eller private skoler og daginstitutioner regelmæssig og systematisk overvågning Løbende, vedvarende, organiseret overvågning Fx sporing, tracking og profilering via internettet, kreditvurderinger og lokalitetstracking via apps i stort omfang Antallet af datasubjekter (specifikt antal eller andel af en relevant del af befolkningen) Mængden af data Hvor varig eller permanent behandlingen er Den geografiske udstrækning af behandlingen Ikke fx tandlægeklinik, lægepraksis, advokatkontor (behandling af patienters eller klienters personoplysninger) 38 Sanktioner over for DPO en DPO en må ikke afskediges eller straffes for at udføre sine opgaver Gælder både direkte og indirekte straffe Fx fravær af eller forsinkelse af forfremmelse eller nægtelse af at modtage personalegoder, som andre ansatte modtager En trussel om en straf er også omfattet af forbuddet DPO en kan afskediges på baggrund af almindelige ansættelsesretlige regler funktionærloven eller overenskomst 19

20 39 Tredjelandsoverførsler 40 Tredjelandsoverførsler I store træk videreføres gældende ret Krav om tilladelse til overførsel af oplysninger bortfalder Ad hoc kontrakter Kan også indgås af databehandlere BCR kodificeres Ikke krav om godkendelse fra alle tilsynsmyndigheder alene den kompetente myndighed i samarbejde med Databeskyttelsesrådet Godkendelsesret hvis krav er opfyldt Databehandleraftaler undlades 20

21 41 Sanktioner 42 Sanktioner Overtrædelsestyper Indhentning af samtykke ift. børn Behandlinger, som ikke kræver identifikation Data protection by design/default Delt dataansvar Repræsentanter for dataansvarlige etableret udenfor EU Databehandlere Databehandlerinstruks Dokumentation for datastrømme Samarbejde med tilsynsmyndigheden Sikkerhedsforanstaltninger Notifikation Data Protection Impact Assessment Forudgående underretning af tilsynsmyndighed Udpegning af DPO (herunder krav, stilling og opgaver) Certificering Bødeniveau*: Offentlige myndigheder** Bødeniveau*: Private virksomheder Op til EUR Op til EUR eller 2 % af virksomhedens årlige globale omsætning (den højeste af de to) * Danmark har særregler, så bøder bliver strafferetlige i stedet for administrative ** Medlemsstaterne kan selv beslutte, om og i hvilken udstrækning administrative bøder kan pålægges offentlige myndigheder 21

22 43 Sanktioner Overtrædelsestyper Grundlæggende principper for behandling Grundlag for behandling (både almindelige og følsomme oplysninger) Betingelser for samtykke Datasubjektets rettigheder Sikkerhedsforanstaltninger Bødeniveau*: Offentlige myndigheder** Bødeniveau*: Private virksomheder Op til EUR Op til EUR eller 4 % af virksomhedens årlige globale omsætning (den højeste af de to) * Danmark har særregler, så bøder bliver strafferetlige i stedet for administrative ** Medlemsstaterne kan selv beslutte, om og i hvilken udstrækning administrative bøder kan pålægges offentlige myndigheder 44 Sanktioner Udvidelse af området for strafpålagte bestemmelser Det må antages, at bestemmelsen vil betyde en væsentlig forøgelse af bødestørrelsen for overtrædelser af forordningens bestemmelser i forhold til, hvad overtrædelser af persondataloven i dag takseres til Medlemsstaterne kan selv beslutte om og i hvilken udstrækning administrative bøder kan pålægges offentlige myndigheder Der vil i forbindelse med vedtagelsen af en ny persondatalov skulle tages stilling til, hvorvidt der skal gives adgang til at pålægge offentlige myndigheder bøder Lægges op til at Datatilsynet udsteder bødeforlæg 22

23 45 Kontakt Charlotte Bagger Tranberg Persondataspecialist Aarhus IP & Technology T M E cbt@bechbruun.com Lars Japp Haslund Advokat København CCI T M E lajh@bechbruun.com Pernille Nyholm Gaarskjær Advokat Aarhus IP & Technology T M E png@bechbruun.com Susanne Stougaard Advokat København CCI T M E sus@bechbruun.com 23