DANSK ERHVERV. EU s nye persondatalov FORCE TECHNOLOGY Sven Petersen Advokat og erhvervsjuridisk fagchef

Transkript

1 DANSK ERHVERV EU s nye persondatalov FORCE TECHNOLOGY Sven Petersen Advokat og erhvervsjuridisk fagchef

2 Hvor f or f okus på per sondat a l ige nu? Ny forordning afløser det gamle persondatadirektiv fra 1995 den Mere fokus på datasikkerhed og individets ret til at bestemme over ens egne persondata. Stort sammenfald med allerede gældende regler, men wake up call for de fleste. Ens regler i hele EU, men..

3

4 Hvor når f inder f or or dningen anvendel se 1. På persondata der behandles i forbindelse med en kommerciel eller erhvervsmæssig aktivitet - personlige og familiemæssige aktiviteter ikke omfattet 2. Når persondata behandles i EU (væsentlig nyt!) - behandles er opfyldt, bare man kan tilgå de data der befinder sig i EU (indisk databehandler der blot får mulighed for at tilgå)

5 Hvad er per sondat a? Personoplysninger er enhver information om en identificerbar fysisk person: - kundeoplysninger - navn og adresse - telefonnumre - adresser - kundenummer/ordrenummer - købshistorik - CPR nummer - IP adresser

6 Hvad er per sondat a? Følsomme persondata er: Oplysninger om race og etnisk oprindelse, religion, helbred, kriminelle forhold, politiske holdninger, fagforeningsmedlemskaber, genetiske data Nyt er biometriske oplysninger

7 For skel l ige t yper per sondat a Virksomhed A/S HR afdeling CRM system Medarbejder oplysninger Personlighedstest Personale sager Kontaktpersoner hos leverandører, distributører eller franchisetagere Webshop Kundeoplysninger Købshistorik Oplysninger om kundens præferencer Introduktion til Persondataretten - Dansk Erhverv

8 væsent l igst e ændr inger ef t er f or or dningen - Bødeniveauet skærpes væsentligt - Ansvarlighed ( accountability ) - Data protection by design/default - Dataprotection officer - Øgede rettigheder til de registrerede - Notifikations set up ved databrud - Strengere krav til databehandlere Op til 4% af virksomhedens globale omsætning Behandlingsprincipper og dokumentation (art. 5) Ikke indsamle flere data end hvad formålet tilsiger Inspireret af tysk ret Retten til at blive glemt, dataportabilitet, indsigt, øgede krav til samtykke Indberet indenfor 72 timer Selvstændigt ansvarssubjekt

9 Ændr inger pga f or or dningen meget er dog det samme hvad er behandling af data? PERSONDATALOVEN Enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysningerne gøres til genstand for. Hvad er behandling? PERSONDATAFORORDNINGEN Enhver aktivitet eller række af aktiviteter med eller uden brug af automatisk behandling som personoplysninger eller en samling af personoplysninger gøres til genstand for. F.eks.: Indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller en enhver form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.

10 Hvad skal du som dat aansvar l ig have st yr på ef t er de nugæl dende r egl er? Oplysninger skal behandles i overensstemmelse med god databehandlingsskik a) Indsamling & behandling til udtrykkeligt angivne og saglige formål - ej blot til lyst b) Behandling kun efter samtykke eller hvis berettiget interesse (og hensynet til den registrerede ikke overstiger denne interesse afvejningsreglen )- f.eks. opfyldelse af kontrakt (webshop)

11 Hvad skal du have st yr på ef t er de nugæl dende r egl er? c) lovpligtig behandling - bogføringsloven, sundhedsloven (patientjournaler), skattelovgivning, udrulning af Smart Gridloven foreskriver, hvorvidt der kræves samtykke d) behandling af personfølsomme oplysninger kræver altid samtykke e.g gemme oplysninger om en ansøgers helbredsmæssige forhold, efter afslag er givet

12 Hvad skal du have st yr på ef t er de nugæl dende r egl er? Behandlingssikkerhed Den dataansvarlige skal sørge for fornødne tekniske og organisatoriske sikkerhedsforanstaltninger..det samme gælder for databehandlere Har I forholdt jer til det? Se

13 Sikker hedst j ekket.dk Eksempler på spørgsmål - Har ledelsen taget stilling til hvordan IT sikkerhed skal håndteres? - Er arbejdet med det dokumenteret? - Hvordan styres, hvilke medarbejdere der har adgang til hvilke informationer? - Hvordan sikres det, at medarbejderne er bevidste om IT sikkerhed? - Har virksomheden en effektiv plan for håndtering af databrud? - etc.

14 Hvor når skal man have en dat abehandl er af t al e? Dataansvarlig Dataansvarlig (videregivelse) Modtager bruger data til egne formål e.g: Loyalitetsklub => samarbejdspartnere Databehandler (overladelse) Modtager bruger data til afgivers formål Videregivelse kræver ikke en databehandleraftale, men typisk hjemmel i form af samtykke fra den registrerede. Overladelse kræver ikke samtykke.

15 Hvor når skal man have en dat abehandl er af t al e? Hvornår er den nødvendig? Enhver behandling af persondata ved brug af ekstern part - også i koncernforhold! Typetilfælde: -Virksomheden bruger IT leverandører (hosting, support, systemdrift etc.) -Lønadministration, Ejerforeningsadministrator - Virksomheden får hjælp til dataindsamling (reklamebureauer, phonere, mødebookere, virksomheder der aflæser data på vegne en 3.)

16 Hvad skal du have st yr på ef t er de nugæl dende r egl er? Databehandleraftale ved overladelse af data Minimumskrav til aftalen efter nuværende lov ifølge Datatilsynet: Databehandlerens behandling af kundedata må alene ske efter instruks fra den dataansvarlige. Databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. Databehandleren skal på anmodning give den dataansvarlige tilstrækkelige oplysninger til, at denne kan påse, at de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger er truffet.

17 Dat abehandl er af t al en i f r emt iden (ar t ikel 28) Den dataansvarlige skal efter den nye forordning sørge for: - at beskrive hvilke data der behandles og hvor længe - at beskrive formål med registreringen og kategorier af registrerede Databehandleren skal efter den nye forordning sørge for: - at personer, der behandler data, undergives en fortrolighedserklæring - at indhente den dataansvarliges samtykke til anvendelsen af underdatabehandler - at bistå den dataansvarlige med at besvare henvendelser fra registrerede - at hjælpe den dataansvarlige med at sætte systemer op, der kan håndtere databrud - at sørge for systemet muliggør sletning og tilbagelevering af persondata - at stille oplysninger til rådighed, så der kan auditeres - og har ansvaret for, at der indgås en databehandleraftale!

18 Dat abehandl er af t al en mel l em DE og ITB Afbalanceret kontrakt Tænkt som bilag til en hovedydelseskontrakt Regulerer bl. a. brugen af underdatabehandlere, overførsel af data til tredjelande etc. Findes også på engelsk

19 De væsent l igst e ændr inger Ef t er den nye f or or dning To bødevarianter Op til 10 mio. eller 2 % af virksomhedens globale omsætning i det foregående regnskabsår (dataansvarliges og databehandlers forpligtigelser) Op til 20 mio. eller 4 % af virksomhedens globale omsætning i det foregående regnskabsår ( grundlæggende principper for behandling, herunder betingelser for samtykke ) Manglende efterlevelse ( non-compliance) retsforfølges mere aktivt. De nationale tilsynsmyndigheder forventes at få en mere aktiv rolle og tildelt flere ressourcer

20 De væsent l igst e ændr inger ef t er den nye f or or dning - I skal overveje hvilket retligt grundlag i behandler data på, og få processer om, hvor I gemmer samtykker og ikke mindst sletter dem (CRM system f.eks.) - Hvad gør I ved databrud? I skal kun dokumentere sådanne brud og de skal anmeldes indenfor 72 timer til Datatilsynet og skal kunne informere de berørte - Sørg for at have databehandleraftaler med de virksomheder, der behandler data for jer.

21 De væsent l igst e ændr inger ef t er den nye f or or dning - I skal have styr på, hvilke data I behandler, hvor de befinder sig og hvilke sikkerheder de er undergivet (ikke nyt, men føles nyt ) - Hvilken information giver I de registrerede? (de skal oplyses om hvilket behandlingsgrundlag, hvor længe I beholder oplysninger, muligheden for at klage etc.) - I skal kunne opfylde den registreredes rettigheder (retten indsigt, sletning, dataportabilitet etc.)

22 Skal man have en DPO? (dat abeskyt t el sesr ådgiver ) Artikel 29 gruppen guidelines fra den 05.april 2017 Offentlige myndigheder skal have en DPO, men hvad med virksomheder? Konklusion: Alene virksomheder, der håndterer store mængder persondata, skal have en databeskyttelsesrådgiver, og forudsat at der enten er tale om a) personfølsomme data b) trackingdata af personer eksempelvis til brug for adfærdsbaseret markedsføring via cookier (men også Rejsekortet, Endomondo, elforbrug (?) etc.)

23 Hvor dan kommer man i gang? PrivacyKompasset kan bruges til at: Tjekke at I overholder nuværende persondatalovgivning Få overblik over hvad I skal gøre for at overholde lovkravene Forberede jer til den kommende EU-forordning Tjekke jeres risiko i forhold til privatlivsbeskyttelse Fortælle jeres kunder om jeres brug af data Bruge som vejledning til samarbejdspartnere og medarbejdere Generere en privatlivspolitik direkte til jeres hjemmeside

24 Rel evant e l inks liggoer-dokument-med-12-spoergsmaal-vedroerendedat abeskyt t elsesforordningen/ ht t ps://privacykompasset.erhvervsst yrelsen.dk/ Overholdelse af forordningen kræver involvering af flere medarbejdere i huset, og man skal sikre et administrativt set up fremover. Ledelsen skal bakke op om projektet!