Persondataforordningen AbMano

Transkript

1 Persondataforordningen

2 Hvem gælder det for? Myndigheders oplysninger om borgere Foreninger med frivillig arbejdskraft Webshops med personlige oplysninger Selvstændige kun med B2B salg Selvstændige med personfølsomme oplysninger Store virksomheder med datterselskaber i EU Oplysninger om dine venner som privatperson

3 Persondataforordningen General Data Protection Regulation (GDPR) Opdatering af persondataloven på EU plan med nye krav Beskyttelse personers private oplysninger og styrkelse af personers retsstilling Gælder for offentlige myndigheder, private virksomheder, foreninger m.v., der behandler persondata Gælder ikke personlige eller familiemæssige aktiviteter Gælder også for behandling af personoplysninger i EU Træder i kraft 25. maj 2018

4 Rundt om GDPR Personoplysninger Bøder Samtykke Dataportabilitet Registreredes rettigheder Notifikationspligt Dokumentation Datasikkerhed Dataansvarlig Overførsel til 3. lande Databehandler Data Protection Officer

5 Hvad er behandling af persondata? Enhver aktivitet eller række af aktiviteter med eller uden brug af automatisk behandling, som personoplysninger eller en samling af personoplysninger gøres til genstand for Dvs. personoplysninger, der er eller vil blive indeholdt i et register. Primært elektronisk behandling af oplysninger.

6 Indsamling af persondata Skal ske lovligt, rimeligt og på en gennemsigtig måde Til udtrykkeligt angivne formål Må ikke viderebehandles på en uforenelig måde. Dvs. må ikke bruges til andet end det, de er indsamlet til Formålet skal være sagligt og skal kunne begrundes Personoplysninger skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til formålet. Dvs. ikke indsamle mere end nødvendigt need to know Korrekte og ajourførte, ellers slettes eller berigtiges Må ikke gemmes længere tid end nødvendigt (til formålet)

7 Hvad er en personoplysning? Enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede) F.eks. navn, adresse, telefonnummer, , alder, arbejdsplads, uddannelse m.v. identifikationsnummer, bl.a. CPR-nr., kundenr., medarbejdernr., IP-adresse kreditkortnummer oplysninger om kontaktpersoner hos samarbejdspartnere f.eks. el. stilling optagelser fra overvågningskameraer billeder af personer, der kan identificeres oplysning om en persons fysiske eller psykiske tilstand samt medicinbrug og misbrug af narkotika, alkohol og lign. fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale oplysninger andre oplysninger, der kan henføres til en fysisk person

8 Kategorier af personoplysninger Almindelige oplysninger Navn Adresse Telefonnummer Fødselsdato Uddannelse Stilling Løn Skat m.m. Personfølsomme oplysninger Race eller etnisk baggrund Politisk, religiøs eller filosofisk overbevisning Fagforeningsmæssigt tilhørsforhold Genetiske eller biometriske data med henblik på identifikation 3 Helbredsoplysninger Seksuel orientering 3 Nyt afsnit Oplysninger om strafbare forhold 1,2 Sociale problemer 1,2 Andre rent private forhold end følsomme oplysninger 1 CPR nr. 2 1 Tidligere semi-følsomme oplysninger 2 Særlov i de enkelte medlemslande (visse oplysninger er endnu ikke fastlagt)

9 Hvad er et register?

10 Samtykke Enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling.

11 Samtykke Frivilligt Uden tvang og baseret på reelt og frit valg ( opt out er ikke tilladt) Specifikt Hvilke oplysninger, til hvad, hvor længe m.m. Informeret Hvem behandler og hvordan; stiltiende samtykke er utilstrækkeligt Utvetydigt Ingen tvivl om afgivelse eller omfanget af et samtykke (f.eks. ikke indeholdt i almindelige betingelser) Skal være klart og forståeligt Dokumentation Ikke krav om skriftlighed, men dataansvarlige har bevisbyrden Nyt samtykke skal indhentes, hvis der ændres på forhold Tilbagetrækning Registrerede kan til enhver tid trække sit samtykke tilbage lige så let som at give samtykke SKAL oplyses ved indhentelse af samtykke

12 Skærpede krav til samtykke Almindelige oplysninger Samtykke Personfølsomme oplysninger Udtrykkeligt samtykke Særlig beskyttelse af mindreårige (under 16/13 år) Kræver forældresamtykke

13 Samtykkeindhold Informere om Formålet for indsamling Kontaktoplysninger på den dataansvarlige Modtagere af oplysninger (f.eks. kun virksomheden selv) Rettighed til at rette og slette data Rettighed til at trække samtykke tilbage Mulighed for at klage til Datatilsynet

14 Registreredes rettigheder Oplysningspligt Ret til at få oplysning om behandlingen af personoplysninger, formålet for indsamling, hvem er dataansvarlig, evt. modtagere af oplysninger m.v. Indsigtsret Ret til at få indsigt i hvilke oplysninger, der behandles Berigtigelse Ret til at få urigtige oplysninger berigtiget Retten til at blive glemt Ret til at få slettet oplysninger (hvis de ikke længere er nødvendige for formålet) Indsigelse Klage til Datatilsynet Dataportabilitet Overførsel af oplysninger til anden virksomhed

15 Retten til at blive glemt Persondata, som ikke længere er nødvendige Samtykke tilbagekaldes Databehandlingen er ulovlig Registreret person er under 16 år gammel Dog ikke hvor: Udøvelse af pressefrihed Overholdelse af gældende lov Databehandling i den offentlige interesse Arkivering opretholdt i den offentlige interesse OBS: Backups

16 Dokumentationskrav Demonstrere overholdelse af persondataforordningen Skriftlig dokumentation for enhver behandlingstype Præcis, lettilgængelig og tydelig information om: hvorfor og hvordan persondata behandles hvilke rettigheder den registrerede har hvem der er dataansvarlig hvilke persondata, der er blevet behandlet overførsler til tredjelande, m.v.

17 Dataansvarlig En fysisk eller juridisk person, offentlig myndighed eller andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger Som udgangspunkt selve virksomheden, ikke enkeltpersoner Ansvarlig for overholdelse af størstedelen af GDPR

18 Data Protection Officer Nødvendig, hvis virksomhedens hovedaktivitet beror på databehandlingsprocesser, hvor det er nødvendigt med omfattende og systematisk overvågning af personer kerneaktiviteterne består af omfattende behandling af følsomme personoplysninger eller oplysninger om strafferetlige forhold

19 Databehandler En fysisk eller juridisk person, offentlig myndighed eller andet organ, der behandler personoplysning på den dataansvarliges vegne Kræver indgåelse af skriftlig databehandleraftale mellem den dataansvarlige og databehandleren

20 Databehandler Ansvarlig for, at: Data ikke behandles på andre måder end aftalt med dataansvarlig Udarbejde rapporter over behandlingsaktiviteterne Implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger Informere dataansvarlige ved databrud - og uden unødigt ophold Udpege en DPO, hvis det er påkrævet Overholde reglerne for overførsel af data til lande uden for EU Overholde eksplicitte betingelser for, hvornår en databehandler må benytte sig af underdatabehandlere Kunne være erstatningsansvar over for de registrerede

21 Krav til databehandleraftalens indhold Behandlingens varighed Formålet med behandlingen Typer af data, der behandles Kategorier af registrerede Databehandlerens pligter og rettigheder, navnlig alene behandle data efter den dataansvarliges dokumenterede instruks sikre, at medarbejdere, der behandler data, er underlagt en fortrolighedsforpligtelse efterkomme alle lovpligtige sikkerhedsforanstaltninger overholde krav vedrørende anvendelse af andre databehandlere i muligt omfang bistå den dataansvarlige med at behandle begæringer, udarbejde PIA, underretning af tilsynsmyndigheden ved sikkerhedsbrud mv. være i stand til over for den dataansvarlige at fremvise alt nødvendig information for at dokumentere compliance med reglerne i forordningen

22 Eksempel på databehandleraftale Databehandleren handler alene efter instruks fra den dataansvarlige. Databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. Databehandleren skal på den dataansvarliges anmodning give den dataansvarlige tiltrækkelige oplysninger til, at denne kan påse, at de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger er truffet. Ved mindre komplicerede løsninger, f.eks. hjemmesidehosting, ifølge Datatilsynet Link til en standard-databehandleraftale:

23 Overførsel til tredjelande Overførsel Videregive personoplysninger til en dataansvarlig udenfor EU Overlade personoplysninger til databehandler udenfor EU Gælder også kikke-adgang Gælder uanset sprog (om man forstår det eller ej)

24 Overførsel til tredjelande Der må overføres persondata til tredjeland, såfremt: Tredjeland sikrer et tilstrækkeligt beskyttelsesniveau Den registrerede har givet udtrykkeligt samtykke Overførsel er nødvendig for at beskytte den registreredes vitale interesser Binding Corporate Rules (godkendt af Datatilsynet) Overførsel er nødvendigt for den dataansvarliges legitime formål, og dennes interesse ikke overstiger den registrerede interesse

25 Usikre tredjelande Afgøres af EU Kommissionen USA er IKKE et sikkert land! med mindre der er indgået EU-US Privacy Shield Overførsel til tredjeland kan finde sted, hvis den registrerede person har givet sit udtrykkelige samtykke til overførslen. Frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede Information om mulige risici, overførslen kan medføre

26 Datasikkerhed Pseudonymisering og kryptering Fortrolighed, integritet og tilgængelighed Robusthed i systemer og tjenester Sikre gendannelse og adgang til data i tilfælde af et fysisk eller teknisk hændelse Regelmæssigt test, vurdering og evaluering Glem ikke medarbejdere - hjemme-pc, mobiltelefoner, tablets, USB nøgler, eksterne harddisks m.m.!

27 Databeskyttelse i IT-systemer Ikke indsamle flere personoplysninger end nødvendigt Ikke opbevare oplysningerne længere end nødvendigt Ikke anvende oplysningerne til andre formål end det formål, som oplysningerne oprindeligt blev indsamlet til. Indtænke databeskyttelse ved udvikling af nye eller ændring af eksisterende it-systemer (databeskyttelse gennem design/privacy by design)

28 Notifikationspligt Hændelig eller ulovlig ødelæggelse, tab m.v. Databehandler skal informere dataansvarlige uden ubegrundet ophold Dokumentere brud Anmelde bruddet til Datatilsynet inden for 72 timer Underrette de registrerede om bruddet uden unødig forsinkelse (ved høj risiko for fysiske personers rettigheder eller frihedsrettigheder, f.eks. risiko for diskrimination, identitetstyveri eller bedrag)

29 Dataportabilitet Ret til at modtage persondata om sig selv Struktureret Maskinlæsbart format Almindelig anvendelig elektroniske formater Ret til at få overført persondata direkte til en anden service provider, hvor det er teknisk muligt

30 Bødestørrelse Ved databrud Hvis virksomheden ikke har underrettet Datatilsynet om et databrud, hvor der ikke er udarbejdet en impact assessment, eller hvor oplysningspligten over for de registrerede ikke er overholdt. Bøde: 2% af virksomhedens globale omsætning eller 10 mio. Ved persondatabrud Hvis virksomheden foretager behandling uden hjemmelsgrundlag, undlade at slette, give indsigt i eller rette data samt ved ulovlig overførsel af data til tredjelande. Bøde: 4% af virksomhedens globale omsætning eller 20 mio.

31

32 Hvor starter du? Kender nøglepersoner i virksomheden til persondataforordningen? Hvilke personoplysninger behandles? F.eks. medarbejdere, kunder, leverandører Indhentes for mange informationer? Hvilken type personoplysning? Almindelige eller følsomme personoplysninger Behandles personoplysninger om børn? Hvorfor indsamles personoplysninger? F.eks. salg, kundekartotek, kontrakter Har personer afgivet et samtykke? Opfyldes de registreredes rettigheder? F.eks. rette og slette oplysninger

33 Hvor starter du? Hvordan indhentes personoplysninger? F.eks. webshop, kundeservice, Hvordan opbevares personoplysninger? F.eks. CRM, webshop, økonomisystem, mapper Hvem har adgang til personoplysninger? Hvem er det nødvendigt for? Hvem deles personoplysninger med? Hvem er dataansvarlig / databehandler? Underdatabehandlere? Opbevares personoplysning i tredjelande? EU-US Privacy Shield

34 Hvor starter du? Hvordan dokumenteres personoplysninger? Handlingsplan ved brud på persondatasikkerheden Databeskyttelse i IT-systemer Skal du have en Data Protection Officer? Hvad skal du gøre? F.eks. manglende dokumentation, beskrivelse af processer og procedurer, politikker, databehandleraftale Få styr på dine data

35 Hvis GDPR var en bil Spørge om at låne bilen? Hvem låner du bilen til? Hvad skal du bruge bilen til? Hvor længe skal du låne den? Sker der noget med bilen? Fartbøder, skader, p-bøde Underretning ved skade Reparation af bilen Ønsker bilen retur fortryder udlånet Er nøglerne afleveret? Må jeg få dine data? Hvem er du? Hvad skal du bruge mine data til? Hvor længe skal du bruge mine data? Sker der noget med data? Tyveri, delagtiggørelse Underretning ved brud Gendannelse af data Fortrydelse tilbagekalde samtykke Ønsker data slettet Bilen = dine data

36 Eksempel på samtykke

37 Eksempel på samtykke

38 Eksempel på samtykke

39 Gode links Datatilsynet datatilsynet.dk/erhverv/om-erhverv Skræddersyet privatlivspolitik startvaekst.virk.dk/privacykompasset Tjek din virksomheds IT-sikkerhed sikkerhedstjekket.dk/index.php EU-U.S. Privacy Shield datatilsynet.dk/erhverv/tredjelande/eu-us-privacyshield privacyshield.gov/list Persondatatesten persondatatesten.dk

40 Links til hjælp

41 Links til hjælp

42 Links til hjælp

43 Du er velkommen til at kontakte mig Bibbi Bryld AbMano