Bliv klar. En vejledning til den Generelle databeskyttelsesforordning (GDPR) elavon.dk

Transkript

1 Bliv klar En vejledning til den Generelle databeskyttelsesforordning (GDPR) elavon.dk

2 Den Generelle databeskyttelsesforordning (GDPR) vil regulere beskyttelse og behandling af personoplysninger vedrørende privatpersoner i den Europæiske Union (EU). Denne vejledning forklarer hvad det betyder, hvordan det vil berøre enkeltpersoner og virksomheder som din, og fortæller dig alt, hvad du behøver at vide om den nye lov. Sammendrag af GDPR Hvornår træder den nye forordning i kraft? 25. maj 2018 Hvad er nyt? De nye rettigheder giver privatpersoner mulighed for at få adgang til de oplysninger, som virksomhederne har registreret om dem, forpligtelser mht. bedre dataadministration for virksomheder og et nyt bødesystem. 2

3 Hvad er GDPR? I januar 2012 vedtog Europa-Kommissionen planer om en databeskyttelsesreform for hele Den Europæiske Union med det formål at gøre Europa rustet til den digitale tidsalder. Næsten fire år senere blev der indgået en aftale om, hvad denne reform involverede, og hvordan den vil blive håndhævet. En af de vigtigste dele i reformerne er introduktionen af den generelle databeskyttelsesforordning. Disse nye EU-rammer gælder for organisationer i alle medlemslande og for globale virksomheder, der handler med privatpersoner i EU. Kernen i GDPR er et nyt regelsæt, der er beregnet til at give folk mere kontrol over deres egne data. Formålet er at forenkle lovgivningen for virksomheder, så både privatpersoner og virksomheder kan få fuld glæde af den digitale økonomi. Reformerne er designet til at reflektere den verden vi lever i i dag, og opdatere love og forpligtelser i hele Europa, så de er relevante i en internetbaseret tidsalder. Persondata berører stort set alle aspekter af vores liv. Fra sociale medievirksomheder, til banker, detailhandlere og regeringer næsten alle de serviceydelser vi bruger, involverer indsamling og analysering af vores personoplysninger. Dit navn, din adresse, betalingskortnummer og andre oplysninger bliver indsamlet, analyseret og måske vigtigst af alt, opbevaret af organisationer. GDPR sigter mod at ensrette lovgivningen i hele Europa, så den afspejler den dataudveksling, der foregår i dag. 3

4 Hvad betyder det for min virksomhed? GDPR gælder for en virksomhed eller person, der håndterer personoplysninger vedrørende mennesker i EU. Det betyder, at virksomheder og personer uden for EU, der sælger varer og tjenesteydelser til personer bosat i EU også skal overholde den nye lov. Det betyder i sidste ende, at næsten alle større virksomheder i verden skal være parat, når GDPR træder i kraft, og skal udarbejde en strategi med henblik på overholdelse af GDPR. GDPR gælder for dataansvarlige, dataansvarlige med fælles ansvar og databehandlere, men forskellen er vigtig, da de har forskellige forpligtelser. Er du dataansvarlig eller databehandler? De forskellige udtryk Ikke alle der håndterer privatpersoners personoplysninger er de samme, og databeskyttelseslove tager hensyn til dette ved at have tre forskellige kategorier: Dataansvarlig, dataansvarlig med fælles ansvar og databehandler. Det betyder de: Dataansvarlig En dataansvarlig er den instans (en person eller en virksomhed), der fastsætter formålet og metoderne til behandling af persondata. Dataansvarlige med fælles ansvar Hvor to eller flere virksomheder i fællesskab fastsætter formålene og metoderne til behandling af persondata, f.eks. fastsætter de i fællesskab/ årsager, lejlighed, karakter og omfang og formål med behandlingen. Databehandler Den person eller gruppe, der behandler dataene på vegne af den dataansvarlige. Behandling vil sige indsamling, registrering, tilpasning eller opbevaring af personoplysninger. Den samme enhed kan være både en dataansvarlig og en databehandler, alt afhængigt af omstændighederne. En teknologivirksomhed der f.eks. leverer betalings behandlingsteknologi til internetforhandlere, er databehandleren, og sælgeren er den dataansvarlige. Men hvis den pågældende teknologivirksomhed pakker de samme personoplysninger med henblik på at give målrettede kundesegmenter til annoncører, handler virksomheden som en dataansvarlig. 4

5 GDPR placerer i sidste ende et juridisk ansvar hos en databehandler med hensyn til opbevaring af optegnelser af personoplysninger og hvordan de behandles. Der bliver pålagt en langt større grad af juridisk erstatningsansvar i tilfælde af, at organisationens sikkerhed bliver brudt. Dataansvarlige vil også være tvunget til at garantere, at alle kontrakter med databehandlere overholder GDPR. Hvad er personoplysninger og følsomme personoplysninger? De typer data, der anses for at være personlige iht. den nuværende lovgivning, omfatter navn, adresse og billeder. GDPR udvider definitionen af personoplysninger således at, ting som en IP-adresse i visse situationer kan være persondata. Det omfatter også følsomme personoplysninger som f.eks. genetiske oplysninger og biometriske data, der kan behandles, så de identificerer en bestemt person. Personoplysninger Oplysninger, der vedrørende en levende person, der kan identificeres direkte eller indirekte, f.eks.: Navn Telefonnummer adresse Betalingskortnummer Følsomme persondata Personoplysninger, der består af oplysninger som f.eks.: Den dataregistreredes race eller etniske oprindelse Politiske holdninger Religiøs overbevisning eller andre overbevisninger af lignende karakter Fagforeningsmedlemskab Fysisk eller mentalt helbred eller tilstand Sexualliv 5

6 Hvad GDPR foreskriver Der er 99 paragraffer i GDPR. De spænder fra generelle bestemmelser, ansvar pålagt dataansvarlig, dataansvarlige i fællesskab og databehandler, til samarbejde med tilsynsmyndighederne. Vigtige ændringer der kan berøre din virksomhed omfatter: Indbygget fortrolighed Databeskyttelse skal være indarbejdet i forretningsgange og systemer fra begyndelsen og være indført som standard Retten til at blive glemt Brugere kan anmode om at få deres data slettet; de kan også anmode om at en kopi bliver sendt til en tredjepart Obligatorisk meddelelse om brud på fortrolighed Visse brud på personoplysningers fortrolighed skal nu indberettes til myndighederne inden for 72 timer samt til berørte personer uden udsættelse Straffe for manglende overholdelse GDPR tillader bøder på op til 20 millioner eller 4 % af virksomhedens globale omsætning, afhængigt af hvad er størst 6

7 Hvordan ser overholdelse af GDPR ud? Der findes samlet set ikke en tilgang som er ens for alle, med hensyn til forberedelse til GDPR. Hver virksomhed skal undersøge nøjagtigt hvad de skal gøre for at overholde GDPR. Det er vigtigt at forstå og fastsætte om du er en databehandler eller en dataansvarlig. De fleste virksomheder vil sandsynligvis være begge dele, afhængigt af de specifikke data, som de modtager. Forberedelser Start med at få en forståelse af, hvilke personoplysninger der opbevares, og hvem der har adgang til dem Begræns adgang baseret på forretningsbehov og indfør adgangskontrol for at opdage uautoriseret adgang Foretag en vurdering af de overholdelses- og sikkerhedskontroller, som I har indført til at indsamle og beskytte oplysningerne, hvor effektive de er, og hvor hullerne er Udarbejd en plan til at forbedre jeres sikkerhedsprogram, idet der kigges på medarbejdere, processer og teknologi Indfør en anmeldelsesproces med hensyn til brud på datasikkerheden, herunder funktioner til afklaring af hændelser og responsfunktioner Nogle virksomheder skal også have en databeskyttelsesrådgiver (Data Protection Officer, DPO) 7

8 PCI DSS-rammeværket støtter overholdelse af GDPR-sikkerhedskrav GDPR beskriver ikke overholdelses-/sikkerhedsrammeværket i detaljer. Betalingskortbranchens sikkerhedsstandarder (PCI DSS) giver imidlertid et nyttigt udgangspunkt for et program for overholdelse og administration af personoplysninger. Ved at erstatte et ord ( kortholder med personoplysninger ) indenfor de 12 hovedkrav i PCI DSS vil man få en logisk opbygning fra betaling til personlig med henblik på overholdelse af GDPR-sikkerhedskrav: Mål Bygge og opretholde et sikkert netværk Beskytte kortholderdata Opretholde et styringsprogram med hensyn til sårbarhed Implementere strenge foranstaltninger med hensyn til adgangskontrol Overvåge og teste netværk regelmæssigt Krav 1. Installere og opretholde en firewall-konfiguration til at beskytte personoplysninger 2. Brug ikke leverandørers standard adgangskoder til systemer og andre sikkerhedsparametre 3. Beskytte lagrede personoplysninger 4. Kryptere overførsel af personoplysninger over åbne, offentlige netværk 5. Brug og regelmæssig opdatering af antivirussoftware eller -programmer 6. Udvikle og vedligeholde sikkerhedssystemer og -programmer 7. Begrænse adgang til personoplysninger iht. forretningsmæssigt behov 8. Tildele et personligt id til alle personer med computeradgang 9. Begrænse fysisk adgang til personoplysninger 10. Spore og overvåge al adgang til netværksressourcer og personoplysninger 11. Teste sikkerhedssystemer og -processer regelmæssigt Opretholde en politik for informationssikkerhed 12. Opretholde en politik vedrørende informationssikkerhed for alle medarbejdere Hvis I efterlever PCI DSS, og I behandler alle jeres personoplysninger og vigtige data på samme måde, som I behandler kortholderdata, er I godt på vej. PCI DSS dækker ikke alt fastlagt i GDPR, men giver et nyttigt udgangspunkt for håndtering af datasikkerhed (punkt 32 EU GDPR Sikkerhedsbehandling ). 8

9 Tjekliste vedrørende forberedelse på GDPR-overholdelse Fastlæg et arbejdsprogram for at lave en oversigt over de af jeres processer, der vedrører personoplysninger. Hav en proces til risikovurdering af jeres egne oplysninger. Hav en forståelse for, hvor og hvordan I deler personoplysninger med tredjeparter. Sørg for at I har de rigtige kontrakter på plads til at overholde GDPR. Vurder jeres informationssikkerhedsprogram med hensyn til personoplysninger, herunder tredjeparter, som I deler oplysninger med. Følg betalingskortbranchens datasikkerhedsstandard (PCI DSS) med hensyn til grundlæggende sikkerhed vedrørende person- og kortholderoplysninger. Hvis relevant, sørg for, at den information og samtykkeerklæring, som I giver til kunderne, er åben, klar, entydig og skrevet på et almindeligt sprog. Læg en plan for overholdelse af de dataregistreredes komplekse rettigheder, herunder ret til adgang, ret til rettelse, ret til korrigering, ret til dataportabilitet og ret til sletning. Indfør en mekanisme til at identificere hvis, hvornår og hvor et evt. brud sker, og hvordan I vil håndtere det. Hav en juridisk efterforsker for PCI (PCI Forensic Investigator, PFI) klar i tilfælde af et brud relateret til kortoplysninger. 9

10 Hvad er konsekvenserne af manglende overholdelse? Virksomheder, der ikke har taget de nødvendige skridt til at sikre, at behandlingen af personoplysninger opfylder de nye krav iht. GDPR, kan blive holdt ansvarlige. Der vil blive udstedt bøder relateret til manglende overholdelse. Disse bøder kan pålægges både dataansvarlige og databehandlere. Manglende overholdelse af GDPR kan medføre en bøde på op til 20 millioner eller 4 % af hovedselskabets årlige globale omsætning, et tal der for nogle kan betyde millioner eller risiko for at gå konkurs. Bøderne vil afhænge af bruddets alvor, og om virksomheden vurderes at have taget overholdelse og forskrifter vedrørende sikkerhed tilstrækkelig alvorligt. Den maksimale bøde på 20 millioner eller 4 % af global omsætning, afhængigt af hvad der er størst, er for overtrædelser af de dataregistreredes rettigheder, uautoriseret international overførsel af personoplysninger, og manglende indførelse af procedurer til eller ignorering af anmodninger fra registrerede om adgang til deres oplysninger. Den nedre grænse på 10 millioner eller 2 % af global omsætning vil gælde for virksomheder, der misbruger oplysningerne på andre måder. De omfatter, men er ikke begrænset til, manglende indberetning af databrud, manglende implementering af indbygget databeskyttelse og manglende sikring af, at databeskyttelse indføres i et projekts første stadie og efterleves ved udnævnelse af en databeskyttelsesrådgiver (hvis relevant). 10

11 Hvordan kan Elavon hjælpe? Spørgsmål som du måske skal tage stilling til: Hvordan får vi samtykke fra vores medarbejdere? Nøjagtigt hvad skal jeg registrere i forbindelse med behandling af data? Er vi den dataansvarlige for medarbejderoplysninger, som vi giver til pensions- og sundhedsudbydere? Hvordan passer PCI DSS ind i alt dette, og er det en hjælp? Har vi brug for en databeskyttelsesrådgiver (DPO)? Hvad gør vi med alle vores markedsføringsdata? For at hjælpe kunderne med at håndtere disse spørgsmål har Elavon etableret kontakt med en række førende datasikkerhedsvirksomheder. Sammen med vores partnere kan Elavon hjælpe dig med at besvare alle dine spørgsmål omkring PCI og GDPR, med tjenester lige fra audit, konsulentbistand, analyse af mangler og udarbejdning af en beredskabsplan til administration af sikkerhedstjenester. Kontakt os nu på Kundeservice.dk@elavon.com for mere information. 11

12 Lad os samarbejde Kontakt os for at se, hvordan vi kan hjælpe dig med dine forberedelser med henblik på efterlevelse af PCI DSS og GDPR. Vi gør det muligt. Du får det til at ske Oplysningerne i dette dokument er kun til generelle oplysningsformål. De er ikke beregnet til at blive brugt som juridisk rådgivning, og bør ikke anvendes som juridisk rådgivning. Du bør indhente uafhængig juridisk rådgivning med hensyn til, hvilke implikationer implementering af GDPR kan have for din virksomhed. Vi vil under ingen omstændigheder være ansvarlige for eventuelle tab eller skader, herunder uden begrænsning, indirekte eller følgetab eller skader, eller tab eller skade af nogen art opstået pga. tab af data eller fortjeneste, som opstår som følge af eller i forbindelse med brugen af dette dokument. Elavon Financial Services DAC Norway Branch Organisationsnummer Besøgsadresse: Karenlyst Allé 11, 0278 Oslo; Postadresse: Postboks 354 Skøyen, 0213 Oslo, Norge. Hovedkontor: Elavon Financial Services DAC, Irsk organisationsnummer ; Besøgsadresse: Building 8, Cherrywood Business Park, Loughlinstown, Co. Dublin, D18 W319, Irland. Elavon Financial Services DAC, der opererer under det registrerede varemærke Elavon Merchant Services, er reguleret af Irlands centralbank.