Nyhedsbrev. Data protection team. August 2016

Transkript

1 August 2016 Nyhedsbrev Data protection team EU s nye digitale grundlov et ledelsesanliggende! Den kommende persondataforordning betegnes populært også EU s nye digitale grundlov: De nye regler er fundamentet for vores arbejde med at skabe et digitalt indre marked og vil udskifte 28 landes regler med én lov. Det er et stort skridt fremad og vil hjælpe med at genskabe forbrugernes tillid til internettet, sagde Véra Juorová, EU s rets-og forbrugerkommissær. Persondataforordningen (Forordningen) træder i kraft den 25. maj Hvorfor et ledelsesanliggende? Fordi bødeniveauet nærmer sig samme niveau som overtrædelser af konkurrencelovgivningen - op til 4 % af den globale omsætning. Persondatabeskyttelse er blevet ophøjet til en menneskerettighed 1, og der er en stigende bevidsthed om, at persondata skal behandles med respekt for individet. Fordi sikkerhedsbrister og anden lemfældig omgang med persondata svækker konkurrenceevnen, koster på imagekontoen, på bundlinjen og giver unødig travlhed på direktionsgangen. Læg dertil, at brug og afhængighed af data stiger med en sådan hast, at man med rette kan tale om en egentlig digital tranformation - et paradigmeskifte. Det gælder for virksomheder, myndigheder, organisationer og privatpersoner. Den daglige ledelse og bestyrelse har ansvaret for, at organisationen i tide kan tage livtag med Forordningen (på engelsk forkortet GDPR) og blive klar til Forordningen bygger på samme principper som persondataloven, men for rigtig mange virksomheder og myndigheder er der meget at tage fat på. I Børsen 2 udtalte Finansrådets direktør, Kenneth Joensen, at bankerne skal budgettere 20 % af deres samlede årlige udviklingsomkostninger på at blive klar. Hvorfor er der meget at tage fat på? Fordi den digitale udvikling er accelereret i en sådan grad, at virksomheder og myndigheder har haft svært ved at følge med og derfor ikke har fået persondatareglerne implementeret. Fordi der 1 Den Europæiske Unions Charter om grundlæggende rettigheder, artikel 7 og 8 2 Børsen den 19. juli 2016

2 Side 2 indsamles og behandles persondata som aldrig før. Fordi mange it-systemer er af ældre dato, og data ligger spredt på mange systemer. Det lave bødeniveau har ikke kunnet mønstre et tilstrækkeligt incitament til at bringe persondata i fokus. Et godt råd er at bygge videre på det fundament organisationen allerede har, men hvis det ikke er solidt nok, ja så er det forfra. Når det er sagt handler det blot om at få nedsat et tværorganisatorisk team med de rette kompetencer og derpå at gå systematisk til værks. I GF s nyhedsbrev om Forordningen, april 2016, lød overskrifterne: Kom i gang nu Afdæk konsekvenser, sæt mål, tænk holistisk, multidisciplinært og operativt Udpeg et projektteam, afhold workshops, beskriv data flow og aktiviteter Forbered, kontroller, reager, dokumenter og evaluer løbende Det er rigtige budskaber, hvis organisationen skal nå at skabe en ny datakultur til maj Hvorfor så også dette nyhedsbrev? Fordi vi gerne vil give de mange ledelser, bestyrelsesmedlemmer, mfl., der ikke tidligere har haft persondata på dagsordenen et værktøj til at stille de rigtige spørgsmål, lette compliance-øvelsen generelt og slå til lyd for: at det er lige så vigtig at have visioner, strategier og handlingsplaner på plads for ens organisations persondatahåndtering som for andre områder og væksten i al almindelighed. at it-sikkerhed og kompetenceløft i organisationen er altafgørende forudsætninger for persondata-compliance. at opnåelse af persondata-compliance er en multidiciplinær øvelse, hvor virksomhedens HR, salg, eksport & marketing, it-afdeling og juridiske ressourcer skal arbejde sammen på tværs. at det er en on-going øvelse, der løbende skal monitoreres og auditeres. at god governance giver konkurrencefordele og empowerment. Ved at ledelsen går forrest og afsætter tilstrækkelige menneskelige og økonomiske ressourcer, sendes et stærkt signal i hele organisationen om, at persondata-compliance og sikkerhed er vigtige fokusområder. En wait-and-see approach kan ikke anbefales. Ikke kun på grund af det kommende høje bødeniveau, men nok så meget fordi omverdenen, virksomhedens stakeholders og forbrugerne forventer ansvarlighed. En proaktiv tilgang vil gøre de juridiske og økonomiske konsekvenser mindre byrdefulde og så er det trods alt ikke sværere end som så at blive klar til Man skal passe på med at overdrive ud-

3 Side 3 fordringerne. Man kan komme godt i gang ved at forstå forordningens formål, de grundlæggende begreber og principper og ved at stille de centrale spørgsmål til organisationen. Læs nærmere nedenfor: Forstå Forordningens formål Den kommende og nuværende lovgivning har begge de to samme fundamentale formål Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger Fri udveksling på tværs af EU medlemslandenes grænser Alt hvad der er indeholdt i lovgivningen bygger på disse to grundlæggende mål - også forordningen. Forstå de grundlæggende begreber Personoplysninger er alle typer informationer, der direkte eller indirekte kan relateres eller henføres til fysiske personer. Rent anonyme personoplysninger er ikke personoplysninger i lovgivningens forstand. Der skelnes i dag overordnet mellem almindelige og følsomme personoplysninger 3. Forordningen bygger på samme opdeling, men terminologien ændres. Følsomme personoplysninger betegnes i Forordningen som særlige kategorier af personoplysninger. Når personoplysninger behandles/bruges 4 helt eller delvis med elektroniske hjælpemidler finder lovgivningen anvendelse. I en digital verden er det ikke en overdrivelse at postulere, at stort set alle personoplysninger, som organisationer behandler/bruger, er omfattet af lovgivningen. Den virksomhed eller organisation, som bestemmer det formål, til hvilket behandlingen sker, fx markedsføring af virksomhedens produkter, kaldes den dataansvarlige. Databehandleren er derimod den, der behandler persondata efter instruks af den dataansvarlige, fx i forbindelse med outsourcing. Både den dataansvarlige og databehandleren har pligt til at overholde persondatalovgivningen. Forstå de grundlæggende principper Principperne om god databehandlingsskik videreføres i Forordningen og skal altid iagttages. Det er krav om 1) formålsbegrænsning, 2) dataminimering, 3) rigtighed, 4)opbevaringsbegrænsning, 5) sikkerhed og 6) ansvarlighed. Lovlig behandling af persondata kræver endvidere hjemmel i loven, som fx kan være et udtrykkeligt samtykke fra den registrerede, en kontrakt eller for at kunne opfylde en retlig forpligtelse, mfl. Forordningen indfører som noget nyt krav om, at sikkerhed skal tænkes ind i systemerne, kaldet Privacy by Design & Default, at virksomheder og organisationer skal kunne dokumentere, at behandlinger er lovlige, føre fortegnelse over deres behandlingsaktiviteter og have et passende sikkerhedsniveau. Pligten til at anmelde behandlinger til Datatilsynet bortfalder, men der indfø- 3 Følsomme personoplysninger er bl.a. oplysninger om helbred, om race, religion, fagforeningsmæssigt tilhørsforhold mfl. Følsomme personoplysninger er underkastet strengere regler for behandling og kræver ofte den registreredes samtykke. Det vil også gælde fremover. Følsomme personoplysninger kaldes populært ofte personfølsomme oplysninger. Almindelige oplysninger er personoplysninger, som ikke henhører under den særlige kategori/som ikke er følsomme. 4 Behandling er kort sagt alle de aktiviteter som persondata gøres til genstand for - lige fra indsamling, registrering, opbevaring, videregivelse, mv. til anonymisering og sletning.

4 Side 4 res et nyt krav om indberetning af sikkerhedsbrud til Datatilsynet. Nogle virksomheder, fx ved behandling af særlige kategorier af oplysninger/de følsomme oplysninger, bl.a. helbredsoplysninger i større omfang, skal overveje om det er nødvendigt at udpege en databeskyttelsesrådgiver, Data Protection Officer (DPO), og/eller gennemføre konsekvensanalyser (risikoanalyser), Privacy Impact Assessment (PIA), før behandlinger foretages. De 10 spørgsmål som ledelsen skal stille: 1. Hvilke persondata indsamles og behandles - Behandles følsomme data eller data om børn? 2. Formålet med persondatabehandlingen - Dækker formålsangivelsen det faktiske brug/behovet? 3. Behandles persondata for andre virksomheder - Er I (også) databehandler? 4. Med hvilken hjemmel sker behandling, hvordan indhentes samtykke - Er der dokumentation? 5. Hvor behandles persondata, internt og eksternt - Har I overblik over systemer og data flow? 6. Sker der overførsel til koncernselskaber eller andre modtagere uden for EU/EEA - Har I hjemmel? 7. Hvilken information gives til de registrerede - Tager I højde for de registreredes rettigheder? 8. Hvad er status på og tiltag omkring sikkerhed - Fysisk, teknisk og organisatorisk? 9. Hvem er ansvarlig for persondataområdet - Har I behov for en DPO eller blot en persondataansvarlig medarbejder? 10. Har organisationen styr på dokumentation for aktiviteterne, på politikker, processer, uddannelse og træning af medarbejdere? Der er selvfølgelig en masse yderligere del- og underspørgsmål, men ved at stille og få besvaret disse 10 overordnede spørgsmål er det muligt at skabe et overblik og få afklaret, hvilken betydning Forordningen vil få for organisationen, dennes forretningsmodel og processer. På det grundlag er det også muligt at få en compliance-øvelse tilrettelagt og skudt godt i gang med et forløb, der er til at overkomme. En øvelse, som på sigt vil styrke hele organisationen. På mandag den 29. august 2016 kl. 9:30 afholder ATV s Digitale Vismandsråd et temamøde om den nye persondataforordning hos Microsoft i Lyngby. På temamødet vil der blive gået mere i detaljen med den kommende lovgivning og de nye krav, gjort op med myter, anvist løsninger, herunder på hvordan et compliance-projekt kan gennemføres i praksis. Det er et spændende program med paneldebat og mange indlæg fra forskellige vinkler, se

5 Side 5 Efter den 29. august 2016 kan du rekvirere vores PowerPoint ved at sende os en , se nedenfor: Janne Glæsel D M [email protected] Tue Goldschmieding D M [email protected] Denne orientering er ikke og kan ikke erstatte juridisk rådgivning. Gorrissen Federspiel påtager sig intet ansvar for skader eller tab, der direkte eller indirekte kan henføres til brugen af orienteringen.