Grab n Go: Session 2 EU s persondataforordning og hvad så?!? 17. marts 2016

Transkript

1 Grab n Go: Session 2 EU s persondataforordning og hvad så?!? 17. marts 2016

2 Introduktion 2016 Deloitte 2

3 Introduktion: Den nye EU-persondataforordning Rationale Forskelle i hastigheden af lovgivningsmæssige opdateringer Verden ændrer sig Forskelle i håndhævelse og fortolkning Behov for databeskyttelsesreform 2016 Deloitte 3

4 Introduktion: Den nye EU-persondataforordning Erstatter EU-direktiv 95/46/EC Europa-Parlamentets endelige afstemning og formelle offentliggørelse forventes i 1. eller 2. kvartal af 2016 Harmoniserer EU s databeskyttelseslovgivning Giver en toårig og 20-dages implementeringsperiode Forbedrer den enkeltes rettigheder Tillader, at medlemslandene bevarer muligheden for at indføre yderligere undtagelser for databehandling og implementering af effektive kontroller Nogle medlemslande er allerede i gang med at ændre deres love, så de er i overensstemmelse med forordningens bestemmelser

5 Forordningens anvendelsesområde Forordningen anvendes på: Behandling af personoplysninger i forbindelse med aktiviteter, der gennemføres af en europæisk dataansvarlig/databehandlers virksomhed uanset om behandlingen finder sted i EU. Hvis behandlingsaktiviteterne vedrører: Udbud af varer eller tjenester til registrerede i EU, uanset om der kræves betaling fra den registrerede Overvågning af registreredes adfærd, hvis den finder sted i EU Samt ved behandling af personoplysninger, som foretages af en dataansvarlig, der ikke er etableret i Unionen, men et sted, hvor en medlemsstats nationale lovgivning gælder i medfør af folkeretten Deloitte 5

6 Overblik over de vigtigste krav 2016 Deloitte 6

7 Forordningens 10 vigtigste krav skærpelser er på vej! Dataportabilitet Borgernes ret til sletning Privacy Impact Assessment Privacy by design 4 5 Skærpede dokumentationskrav Information om behandling til datasubjektet Sanktioner Krav om en databeskyttelsesansvarlig Samtykkekrav Indberetningskrav til 9 Datatilsynet og underretning 10 af datasubjekt 2016 Deloitte 7

8 1. Borgernes ret til sletning Formål: at give borgere øget kontrol med egne personoplysninger Nuværende regler om sletning af data præciseres, hvilket betyder, at borgeren kan kræve, at personoplysninger slettes. Brugeren kan dermed trække sit samtykke tilbage og kræve, at alle oplysninger om dennes person slettes, såfremt der ikke foreligger andre legitime grunde til at opbevare personoplysningerne. Den dataansvarlige forpligtes til at gøre tredjeparter opmærksomme på, at den registrerede ønsker personoplysninger slettet. Dette medfører en ressourcebelastning for dataansvarlige. Forordningen stiller krav om, at samtykke til virksomhedernes brug af personoplysninger skal gives udtrykkeligt i form af en erklæring eller lignende. Praktiske ændringer: Transparent information til de registrerede om: at det er frivilligt at give samtykke frivilligt hvad formålet med behandlingen er informeret afgrænsning af behandlingen specifikt at samtykket kan trækkes tilbage Undtagelser: Retskravsreglen samt hensynet til ytringsfriheden Deloitte 8

9 2. Dataportabilitet Forordningens regler giver datasubjektet mulighed for at få egne data overført til nye serviceorganer. Berørte sektorer: Virksomheder og myndigheder som modtager oplysninger afgivet af rettighedssubjektet selv. Personer får lettere ved at kræve egne data udleveret. Data skal udleveres i brugbart format - f.eks. Word eller Excel. Personer får lettere ved at overføre personoplysninger fra én serviceudbyder til en anden. Begrænsning: Kravet omfatter kun oplysninger afgivet af personen selv Deloitte 9

10 3. Krav til Privacy Impact Assessment Hvornår Behandling med høj risiko for frihedsrettigheder Før behandlingen Privacy Impact Assessment = Vurdering af effekten af behandlingsaktiviteterne med henblik på beskyttelse af personoplysninger Indhold Påkrævet hvornår Systematiske og omfattende individuelle beslutninger (herunder profilering) Omfattende behandling af følsomme oplysninger Omfattende systematisk overvågning af offentligt tilgængelige steder Beskrivelse af den planlagte behandlingsaktivitet og formål Vurdering af nødvendigheden og proportionaliteten af behandlingen Vurdering af risici Foranstaltninger taget i betragtning til minimering af risiciene 2016 Deloitte 10 10

11 4. Privacy by Design Dette tiltag tvinger virksomhederne til at sætte privacy på dagsordenen i forbindelse med nye produkter, designprocesser osv. Berørte sektorer: Alle forretningssektorer Privacy by Design and Privacy by Default: Princippet om Privacy by Design bør implementeres, så privatlivets beskyttelse indbygges i it-arkitekturen og inddrages i planlægningsfasen til nye procedurer og systemer. By Default betyder, at data kun må behandles, opbevares og indsamles i overensstemmelse med, hvad der er nødvendig samt i overensstemmelse med det oprindelige formål for indsamlingen. Den dataansvarlige skal indføre passende mekanismer for at sikre, at kun nødvendige data behandles. Privacy/databeskyttelseshensyn skal tænkes ind i udviklingen af softwareløsninger Deloitte 11

12 5. Skærpede dokumentationskrav Dette tiltag tvinger virksomhederne til at sætte privacy på dagsordenen i forbindelse med nye produkter, design processer osv. Berørte sektorer: Alle forretningssektorer Databeskyttelsesansvarlig: På nuværende tidspunkt overlader rådet beslutningen om, hvorvidt det skal være obligatorisk at udpege en databeskyttelsesansvarlig i private virksomheder til medlemslandene. For offentlige myndigheder er det obligatorisk i alle medlemsstaterne. Virksomhederne bliver tvunget til at kortlægge deres data og følgende skal dokumenteres: Politikker og procedurer, procedurer for behandling af den registreredes rettigheder (hvem skal kontaktes hvornår), audits og intern undervisning samt uddannelse af medarbejdere. Formålet med forordningen er at minimere risikoen for krænkelser. Virksomhederne skal derfor kunne dokumentere de overvejelser, de har gjort sig i forbindelse med overholdelsen. Kun de nødvendige data skal behandles i den givne kontekst, slettefrister skal overholdes og kun de nødvendige personer skal have adgang til data. Alt dette skal kunne dokumenteres Deloitte 12

13 6. Krav om en Databeskyttelsesansvarlig eller Data Protection Officer (DPO) Forordningen indebærer en udvidelse af den dataansvarliges ansvar - især ved at kræve, at de dataansvarlige udpeger en databeskyttelsesansvarlig, når: Der er tale om en offentlig myndighed. Alle offentlige myndigheder, der behandler personoplysninger, skal have en DPO. Domstole er undtaget. Offentlige myndigheder med bred organisatorisk struktur kan nøjes med at udpege én DPO, såfremt den organisatoriske struktur og størrelse tillader det. Virksomhedens kerneaktiviteter i større omfang består af behandlingsaktiviteter, hvis karakter, omfang eller formål kræver regelmæssig og systematisk overvågning af registrerede - eller Kerneaktiviteterne i en virksomhed i større omfang består af behandling af følsomme personoplysninger, lokaliseringsoplysninger eller oplysninger om børn eller medarbejdere i omfattende registre. Koncerner kan udpege én DPO, der er ansvarlige for samtlige selskabers behandling af personoplysninger Deloitte 13

14 Krav til den databeskyttelsesansvarlige DPO en skal udpeges på baggrund af professionelle kvalifikationer og særligt på baggrund af ekspertise inden for databeskyttelseslovgivning samt praksis. DPO en skal have særlig viden om persondatabeskyttelse. DPO ens uafhængighed skal sikres gennem særlige kontrakter DPO tildeles ikke tillidsmandsstatus. DPO ens opgaver er: At informere og rådgive om de forpligtelser, der gælder ifølge forordningen At sikre, at forordningens regler overholdes i den daglige drift At overvåge, at regler og standarder overholdes - herunder fordeling af ansvar, oplysningskampagner og uddannelse af medarbejdere At rådgive om konsekvensanalyser ved særlige behandlingskategorier At være kontaktperson til myndighederne og til de registrerede At håndtere sikkerhedsbrud herunder indberetning til Datatilsynet og til registrerede, hvis oplysninger er blevet kompromitterede 2016 Deloitte 14

15 7. Information om behandling til datasubjektet Ikke de store ændringer, men vil kræve en administrativ indsats i forbindelse med udfærdigelsen af relevante dokumenter. Berørte sektorer: Særlig forretninger, der agerer som dataansvarlige. Generelt: Dataansvarlige skal give et minimum af information til datasubjektet. Format: kortfattet, gennemsigtige, klare og lettilgængelige samt tilpasset den enkelte målgruppes forståelsesniveau. Indhold: Bl.a. identiteten samt kontaktoplysninger på DPO en, opbevaringsperiodens varighed, oplysning om retten til at anmode om sletning samt indsigt i de oplysninger, der behandles om ens person, klageret, cross-border dataoverførsel samt om data ikke er indhentet fra datasubjektet selv. Forordningen styrker datasubjektets rettigheder, da registrerede personer har krav på at få indsigt i den behandling, deres oplysninger undergår. Sådanne indsigtsbegæringer fra registrerede skal besvares uden ugrundet ophold og senest inden for en måned. Indsigtsbegæringer skal være omkostningsfrie for den registrerede. Anbefaling: Review virksomhedens eksisterende politik vedrørende information til datasubjektet Deloitte 15

16 8. Krav om samtykke Samtykke skal være en klar bekræftelse, der indebærer en frivillig, specifik, informeret og utvetydig tilkendegivelse Tavshed, forudafkrydsede felter eller inaktivitet bør ikke udgøre samtykke Samtykke til samtlige behandlingsformål Anmodningen skal være klar, koncis og ikke unødigt forstyrre brugen af den tjeneste, som samtykke gives til 2016 Deloitte 16

17 9. Indberetning til tilsyn og datasubjekt Indberetning til Datatilsynet: Alene brud, som sandsynligvis vil medføre en høj risiko for enkeltpersoners rettigheder og frihed (identitetstyveri), skal indberettes til Datatilsynet uden ugrundet ophold og senest 72 timer efter, man er blevet opmærksom på det. Det skal bemærkes, at pligten er strafsanktioneret. Indhold: Beskrivelse af hændelsens konsekvenser inklusiv antallet, kategorien samt volumen af data, som er blevet påvirket af bruddet. Det skal endvidere oplyses hvilke foranstaltninger, der er taget for at løse problemet samt for at mindske dets skadevirkninger. Underretning af datasubjektet: Den udløsende faktor for at underrette de berørte personer er den samme og skal ske uden unødigt ophold. Underretningspligt kun såfremt bruddet sandsynligvis vil medføre en høj risiko for enkeltpersoners rettigheder og frihed. Indhold: Datasubjektet skal have viden om bruddets karakter og skal modtage kontaktoplysninger på en eventuel DPO. Derudover skal den dataansvarlige vejlede datasubjektet om, hvilke handlinger de kan foretage for at mindske konsekvensen af bruddet. Underretningen skal være klar og letforståelig. Undtagelser: Det er ikke nødvendigt at underrette datasubjektet i tilfælde hvor den dataansvarlige kan dokumentere at tilstrækkelige sikkerhedsforanstaltninger er implementeret Deloitte 17

18 10. Sanktioner Eksempler 1. Første lovbrud for individer og små-virksomheder: en skriftlig advarsel 2. Overtrædelser begået af dataansvarlige og databehandlere kan sanktioneres med bøder op til EUR eller 2% af den globale omsætning. 3. Overtrædelser af de persondataretlige principper sanktioneres med en bøde på op til EUR eller 4% af den global omsætning. 4. Datatilsynet bestemmer, om offentlige myndigheder skal ifalde en bøde i forbindelse med overtrædelse af forordningens bestemmelser. 6. Faktorer af betydning for bødestørrelsen er f.eks. karakteren, alvoren og varigheden, gentagelsessituationer, omfanget af skaden, foranstaltninger taget for at mindske skadesniveauet m.v. 7. Bødestørrelserne skal være effektive, proportionale samt afskrækkende. Før var bødeniveauet på kr. samt kr. for grove overtrædelser Deloitte 18

19 Konklusion: Handlingsplan og næste skridt 2016 Deloitte 19

20 Start forberedelserne nu! 2016 Deloitte 20

21 10 skridt til at blive klar til de nye regler Politik for behandling af personoplysninger og privatlivets fred Program for awareness Program for håndtering af datasubjekters rettigheder Muligheder for anvendelse af Privacy Enhancing 10 Technologies PET Privacy by Design Dataklassifikation, relation til kerneforretningen, data flow-analyse, hvor er persondata? Privacy impact assessment som del af risikovurderingen Identifikation, beskrivelse og implementering af kontroller Program for databeskyttelsesansvarlig Program for anmeldelse af sikkerhedsbrud og beredskab Program for måling og kontrol Start med at overholde gældende lovgivning - GAP analyse 2016 Deloitte 21

22 Janus Friis Bindslev Partner, Cyber Risk Services Mobil: marts 2016