Persondataforordningen

Transkript

1 Persondataforordningen Michael Hopp, advokat og partner 10. september 2015

2 Program Introduktion Forhandlingerne om forordningen Hvad vil forordningen betyde? Compliance under forordningen 2

3 Forhandlingerne om forordningen

4 Processen hidtil: Kommissionens erklærede målsætninger Harmoniseret anvendelse og håndhævelse af databeskyttelsesretten Fremme realiseringen af Det (digitale) Indre Marked Forbedret beskyttelse af individers grundlæggende rettigheder 4

5 Kommissionens supplerende/reelle målsætninger (når man fanger dem i korridorerne) At efterligne EU-konkurrencerettens succes At rykke databeskyttelse ind i bestyrelseslokalet At sikre reel efterlevelse 5

6 Vi nærmer os enden Kommissionens forslag fremsat i januar 2012 Parlamentet havde sit forslag på plads i marts 2014 Ministerrådet vedtog deres "general approach" den 15. juni 2015 Tidsplan for trilog forhandlinger Ambition om at være færdige til december 2015 Men holder den? Forventet ikrafttrædelse Nok et sted mellem 1. januar og 1. juli

7 Hvad vil forordningen betyde?

8 Persondataforordningen - et overblik Den grundlæggende opbygning, behandlingsregler, den registreredes rettigheder, krav om overførselsgrundlag, mv. Datasikkerhed "Old news" Krav vi kender fra persondataloven og direktiv 95/46. Accountability Privacy by design/default Udpegning af en DPO Bøder på op til 5% Forordningens krav Juridiske krav til den dataansvarlige, bl.a. særlige krav til databehandleraftaler, skærpet og strafbelagt pligt til selv at "tilstå" datasikkerhedsbrister, pligt til at dokumentere at alle retlige krav er efterlevet, regler om søgsmål, jurisdiktion osv. 8

9 Overblik over forordningen Formål. materielt og geografisk anvendelsesområde, definitioner Art. 1-4 Behandlingsregler Art. 5-10, Gennemsigtighed, den registreredes rettigheder, datasikkerhedsbrud Art , "Accountability", Privacy by design/privacy by default Art Relationen mellem dataansvarlig og databehandler Art Dokumentation, PIA, forudgående godkendelse, DPO Art , Sikkerhed Art. 30 Adfærdskodeks og certificering Art Tredjelandsoverførsler Art Tilsynsmyndighed Art Samarbejde ("Onestop-shop"), sammenhæng og EDPB Art. 54a-72 Ansvar og sanktioner Art b 9

10 Fokus på compliance 10

11 Compliance under forordningen

12 Accountability Article 22 (Rådet) 1. Taking into account the nature, scope, context and purposes of the processing as well as the likelihood and severity of risk for the rights and freedoms of individuals, the controller shall implement appropriate measures and be able to demonstrate that the processing of personal data is performed in compliance with this Regulation. 12

13 Accountability Hvordan? Kortlægning af alle (væsentlige) databehandlinger og udarbejdelse af en fortegnelse (som herefter holdes ajour) (se også artikel 28) Politikker og procedurer, som implementerer de relevante regler i Forordningen F.eks. behandlingsregler, oplysningspligt, udarbejdelse af PIA, slettepolitikker Identificer de nødvendige kontrolmål ud fra relevante regler, herunder fortolkning af reglen i den konkrete situation, risiko for overtrædelse af reglen og konsekvens af overtrædelse Privacy by design/default Intern undervisning og uddannelse i persondatabeskyttelse Procedurer for behandling af den registreredes rettigheder (fx indsigtsret og right to be forgotten) Etablering af interne procedurer i forbindelse med datasikkerhedsbrud Audits ISO er et godt sted at starte for at få et rammeværk for accountability arbejdet. 13

14 Privacy by Design Article 23 (Rådet) Data protection by design and by default 1. Having regard to available technology and the cost of implementation and taking account of the nature, scope, context and purposes of the processing as well as the likelihood and severity of the risk for rights and freedoms of individuals posed by the processing, the controllers shall implement technical and organisational measures appropriate to the processing activity being carried out and its objectives, including data minimisation and pseudonymisation, in such a way that the processing will meet the requirements of this Regulation and protect the rights of data subjects. 14

15 Privacy by Default Article 23 (Rådet) Data protection by design and by default 2. The controller shall implement appropriate measures for ensuring that, by default, only personal data, which are necessary for each specific purpose of the processing are processed; this applies to the amount of data collected, the extent of their processing, the period of their storage and their accessibility. Where the purpose of the processing is not intended to provide the public with information, those mechanisms shall ensure that by default personal data are not made accessible without human intervention to an indefinite number of individuals. 15

16 Data Protection Officer - Rollen Bliver der krav om en DPO? Krav til DPO'en Artikel 35 (EP) 5. The controller or processor shall designate the data protection officer on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and ability to fulfil the tasks referred to in Article 37. The necessary level of expert knowledge shall be determined in particular according to the data processing carried out and the protection required for the personal data processed by the controller or the processor. 16

17 Data Protection Officer - Rollen Data subjects shall have the right to contact the data protection officer on all issues related to the processing of the data subject s data and to request exercising the rights under this Regulation. Ikke en almindelig intern rådgiver, men derimod en persondatatillidsmand Har mange lighedspunkter med compliancefunktionen i finansielle virksomheder Skal ikke stå for det daglige arbejde med overholdelsen af forordningen, men derimod føre tilsyn med forretningen DPO'en varetager ikke virksomhedens interesser, men derimod datasubjekternes interesser (og nogen gange også tilsynsmyndighedens ) 17

18 Dokumentation art. 28 Pligt til at have dokumentation for behandlingsaktiviteter Svarer meget til det nuværende anmeldelsesskema Undtagelse for virksomheder under 250 medarbejdere og uden behandling af persondata som hovedaktivitet Skal ikke sendes ind! 18

19 Data Protection Impact Assessment art. 33 Pligt til at udarbejde PIA ved høj risiko i forhold til individers rettigheder og friheder, herunder tab af fortrolighed for fortrolige oplysninger (generelt bredt formuleret) Liste over særligt PIA-påkrævede behandlinger Hvis profilering med "decisions that produce legal effects or severely affect data subjects" Hvis behandling af følsomme oplysninger "processed for taking decisions regarding specific individuals on a large scale" Undtagelse fra pligten til PIA, ved behandling af oplysninger på grundlag af retlig forpligtelse eller ved udførelse af offentlige opgaver/myndighedsudøvelse (men mulighed for pligt under national ret) Medlemsstater kan fastsætte nærmere regler om behandlinger, som er omfattet hhv. undtaget fra pligten 19

20 Data Protection Impact Assessment Hvad skal PIA'en indeholde? Generel beskrivelse af behandling, Vurdering af risici, samt Anvendte mekanismer til nedsættelse af risici, herunder til sikring af overholdelse af forordningen Code of conducts kan betyde at pligten bortfalder Pligt til at inddrage SU/forbrugerorganisationer! Formentlig pligt til at indsende til Datatilsynet, hvis konklusionen på PIA'en er, at der er en høj risiko, som ikke mitigeres 20

21 Data protection by design and by default (artikel 23) By design "Having regard to the available technology and the cost of implementation and taking into account of the nature, scope, context and purposes of the processing as well as the likelihood and severity of the risk for the rights and freedoms of individuals posed by the processing, the controller shall implement technical and organisational measures appropriate to the processing activity being carried out and its objectives, such as data minimisation and pseudonomisation in such a way that the processing will meet the requirements of this Regulation and protect the rights of data subjects." 41, stk. 3 i den nugældende persondatalov "Den dataansvarlige skal træffe de fornødne foranstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere." Forordningen hæver sig over de konkrete eksempler, men gør det klart, at det handler om at beskytte den registreredes interesser Ikke en indholdsmæssig forpligtelse men et spørgsmål om implementering Risikobaseret tilgang 21

22 Data breach notification 22

23 Data breach notification art Både til Datatilsynet og de berørte datasubjekter Stadig usikkerhed om, hvornår pligten udløses Men pligten kommer, dog måske kun for (Rådet) "a personal data breach which is likely to result in a high risk for the rights and freedoms of individuals, such as discrimination, identity theft or fraud, financial loss, unauthorized reversal of pseudonymisation, damage to the reputation, loss of confidentiality of data protected by professional secrecy or any other significant economic or social disadvantage," Frist: "Without undue delay" (normalt 72 timer til Datatilsynet). Om nødvendigt lagdelt information. Undtagelse ift. datasubjekter - artikel 32(3): Anonyme data Efterfølgende kompenserende foranstaltninger Disproportional indsats ift datasubjekter Stride mod en væsentlig offentlig interesse 23

24 Yderligere krav "Profilering" "Dataportabilitet" Krav rettet direkte mod databehandleren, herunder auditeringsret for den dataansvarlige bødestraf i grove sager for utilstrækkelig sikkerhed. 24

25 Konklusion på forordningen Større bøder, øget fokus fra myndigheder, kunder, konkurrenter og medierne Persondataforordningen er en game-changer inden for compliance med persondatabeskyttelse Man skal - som i dag - også kunne dokumentere, at man har en tilstrækkelig datasikkerhed. Den store forandring bliver, at man skulle dokumentere, at man overholder de materielle regler - altså at man har et lovgrundlag for sin indsamling og anvendelse af oplysningerne, at man orienterer individerne om, at man har deres oplysninger, at man har foretaget Privacy Impact Assessment osv. Persondatabeskyttelse og datasikkerhed er ikke det samme! Datasikkerhed handler om beskyttelse af virksomhedens interesser. Inden for datasikkerhed accepteres det, at der aldrig kan opnås fuldstændig sikkerhed. Persondatabeskyttelse handler om beskyttelse af individernes interesser. Individerne er per definition ikke risikovillige. Enhver risikovilje fra virksomhedens side er en vilje til at tage en risiko for en bøde og få en tur på forsiden! 25

26 Nyhed: "Plesner DPO Academy" Bliv klar til rollen som Data Protection Officer Forordningen vil formentlig introducere begrebet "Data Protection Officer" - eller databeskyttelsesansvarlig - i dansk ret. Rollen vil være en form for intern "ombudsman" i virksomheder eller myndigheder af en vis størrelse eller som udfører særlige behandlinger af personoplysninger. Plesners særlige DPO-uddannelse vil trække på vores unikke internationale netværk og bygge på erfaringerne fra Persondataretligt Forum. Uddannelsen vil dække alle de kompetencer, der er påkrævede for at bestride stillingen, herunder et højt niveau af indsigt i persondataretten. Kurserne vil være på små hold, der sammensættes med henblik på at sikre så bred en erfaringsudveksling som muligt på tværs af sektorer mv. Oplæg fra Danmarks største hold af persondataretseksperter samt fra DPO's fra flere multinationale virksomheder Kursusstart: Umiddelbart efter forordningens endelige vedtagelse. Hvis du ønsker at være blandt de første, der modtager tilbud om optagelse, så send en til Michael Hopp på [email protected] 26

27 Persondataretligt Forum Et netværk for personer med særlig interesse inden for persondatabeskyttelse Aktuelle og generelle seminarer udbydes løbende 6 årlige nyhedsbreve om alt hvad der rører sig inden for persondatabeskyttelse Tilmelding på 27

28 Tak for i dag Michael Hopp Advokat, partner T: M: [email protected] 28

29 Plesner Plesner Advokatfirma Amerika Plads København Ø Denmark T: Fax: CVR: