Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Transkript

1 Persondataforordningen Overblik over initiativer og ansvar Dubex Summit - Rasmus Lund november 2016

2 Rasmus Lund Advokat, partner Leder af persondata team

3 Agenda Henning Mortensen, DI har givet overblik over forordningens indhold Jeg dykker ned i udvalgte emner vedr. overblik over initiativer og ansvar: 1. Hjælp til overblik over regler og initiativer 2. Hvornår er man egentlig dataansvarlig hhv. databehandler? 3. Hvilket ansvar følger med? Data accountability 4. Hvordan sikrer man sig, at man lovligt må behandle persondata? 5. Hvad er konsekvenserne ved overtrædelse?

4 Overblik over reglerne Samspil med andre regler

5 Overblik over forordningens indhold Dataansvarliges pligter Lovlig behandling Datasubjektets rettigheder

6 Lovlig behandling Dataansvarliges pligter Lovlig behandling Kumulative betingelser: 1. Principper for lovlig behandling 2. Hjemmel til at behandle persondata 3. Hjemmel til at overføre data uden for EU 4. Anmeldelse / tilladelse fra Datatilsynet (udgår i vidt omfang i Forordningen) Datasubjektets rettigheder

7 Datasubjektets rettigheder Dataansvarliges pligter Lovlig behandling Rettigheder: 1. Orienteringspligt ved indsamling af data 2. Ret til indsigt 3. Ret til berigtigelse 4. Retten til at blive glemt (ret til sletning) 5. Ret til begrænsning af behandling Datasubjektets rettigheder 6. Ret til dataportabilitet 7. Ret til at gøre indsigelse 8. Automatisk beslutningstagning og profilering

8 Virksomhedens pligter Den dataansvarliges pligter (og i vist omfang databehandlerens pligter): Dataansvarliges pligter Lovlig behandling 1. Data accountability 2. Privacy by default and design 3. Solidarisk ansvar for flere dataansvarlige 4. Databehandlere og databehandleraftaler 5. Dokumentation for databehandling Datasubjektets rettigheder 6. Samarbejde med Datatilsynet 7. Behandlingssikkerhed 8. Anmeldelse af brud på datasikkerheden 9. Konsekvensanalyser (DPIA) 10. Databeskyttelsesrådgiver (DPO) 6

9 Samspil med andre regler (hjemmel og opbevaringspligt) Brancheregler: Finans, lægemiddel, medico, offentlige, kreditoplys. bureau Beslægtet lovgivning Cookie, E-privacy, markedsføringslov Typer af behandling: Apps, droner, geolocation mv. Særregler: Hvidvask, kreditaftaler, bogføring, HR, skattelove, CPR. nr. Forordningen Generelle regler

10 Dataansvarlig og databehandler

11 Vigtig sondring ift. ansvar og opgaver iht. Forordningen Dataansvarlig : en fysisk eller juridisk person, en offentlig myndighed, en institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger. F.eks. udbyder af vare eller tjenesteydelser, forsker, og/eller arbejdsgiver. Der kan være flere dataansvarlige! Databehandler : en fysisk eller juridisk person, en offentlig myndighed, eller ethvert andet organ, der behandler personoplysninger på en dataansvarligs vegne. F.eks. market research bureau, service provider, outsourcing, hosting, Cloud, inkassobureau mv.

12 Hvilket ansvar følger med? Data accountability

13 Virksomhedens pligter Den dataansvarliges pligter (og i vist omfang databehandlerens pligter): Dataansvarliges pligter Lovlig behandling 1. Data accountability 2. Privacy by default and design 3. Solidarisk ansvar for flere dataansvarlige 4. Databehandlere og databehandleraftaler 5. Dokumentation for databehandling Datasubjektets rettigheder 6. Samarbejde med Datatilsynet 7. Behandlingssikkerhed 8. Anmeldelse af brud på datasikkerheden 9. Konsekvensanalyser (DPIA) 10. Databeskyttelsesrådgiver (DPO)

14 Generalklausul om dataansvarlighed Art. 24: Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og være i stand til at påvise, at databehandlingerne er i overensstemmelse med forordningen. Den dataansvarlige har det overordnede ansvar for at overholde reglerne og dokumentere dette, herunder at der sker: 1. lovlig behandling af persondata 2. iagttagelse af datasubjektets rettigheder 3. overholdelse af pligter Husk dog selvstændige pligter for databehandleren!

15 Data Accountability i praksis Man kan kun beskrive og dokumentere det, som man har styr på! Vi ved, hvilke data vi har og kan begrunde saglig- og lovlighed Vi har en holdning og oplyser herom Vi gør, hvad vi siger og kan dokumentere det Data ansvarlighed

16 Hvordan sikrer den dataansvarlige sig, at databehandlingen er lovlig?

17 Lovlig behandling Fokus på betingelse 1 og 2 Kumulative betingelser: 1. Principper for lovlig behandling Dataansvarliges pligter Lovlig behandling 2. Hjemmel til at behandle persondata 3. Hjemmel til at overføre data udenfor EU 4. Anmeldelse / tilladelse fra Datatilsynet (udgår i vidt omfang i Forordningen) Datasubjektets rettigheder

18 Lovlig behandling 1 - Principper for behandling

19 Principper for behandling Art 5 1. Databehandling skal være lovlig, rimelig og gennemsigtig ( saglighed / lovlighed ) 2. indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål ( formålsbestemthed ) 3. være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles ("dataminimering") 4. være rigtige og om nødvendigt ajourførte ("rigtighed") 5. opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt ("lagringsbegrænsning") 6. behandles på en måde, der sikrer tilstrækkelig sikkerhed ("integritet og fortrolighed"). Dataansvarlig skal kunne påvise overholdelsen af art. 5 ( data accountability ). Husk: Man kan ikke samtykke sig ud af disse betingelser!

20 Lovlig behandling 2 - Hjemmel

21 Typer af persondata Oplysninger af særlig karakter (følsomme) Semi-følsomme oplysninger udgår Almindelige oplysninger

22 Typer af oplysninger Følsomme oplysninger / oplysninger af særlig karakter (udtømmende): Racemæssig eller etnisk oprindelse Politisk, religiøs eller filosofisk overbevisning, Fagforeningsmæssigt tilhørsforhold Helbredsmæssige og seksuelle forhold samt genetisk data Almindelige oplysninger (eksempler): Alle andre typer: dvs. navn, , CPR. nr., adresse, køn, alder, job, økonomi, bankoplysninger mv.

23 Overblik over hjemmelsgrundlag til at kunne behandle personoplysninger (ikke udtømmende) Almindelige Samtykke* Ja Ja Lovkrav Ja Ja Nødvendig for at fastslå retskrav For at indgå eller opfylde aftale med datasubjekt Interesseafvejningsreglen Ja Ja Ja Følsomme Ja Nej Nej * Frivillig, specifik, informeret, utvetydig og udtrykkelig viljeserklæring.

24 Sanktioner

25 Risiko elementer (positive elementer ved data compliance er nævnt af DI) Anmeldelse af databrud Datatab Presse medier Bøder op til 2% eller 4% af omsætning Risikostyring Kundetillid Erstatning Ophør med at bruge data 6

26 Opsummering af reglerne Dataansvarliges pligter Lovlig behandling Datasubjektets rettigheder

27 Følg os på LinkedIn: DELACOUR Law firm Lyt til vores podcasts dk.delacour.dk/lyt-tilerhvervsadvokaten Tilmeld dig nyhedsbreve dk.delacour.dk/ nyhedsbrev

28 Langebrogade 4 DK-1411 København K Åboulevarden 13 DK-8000 Aarhus C Tlf: Fax: [email protected]