Gå-hjem-møde Persondataforordning

Transkript

1 Gå-hjem-møde Persondataforordning Lars Japp Haslund Advokat (CIPM/CIPP/E) Bech-Bruun Mette Haagensen Advokat, juridisk konsulent Ejendomsforeningen Danmark

2 Tidsplan Velkomst Persondataforordningen v/ advokat Lars Japp Haslund, Bech-Bruun Pause og netværk Status og informationsudveksling v/ advokat Mette Haagensen Tak for i dag 2

3 3

4 4

5 Persondataloven i DK Vi spiller ubevidst hasard med medlemmernes oplysninger 5

6 6

7 Mens vi venter på afklaring Dataflows: Posthåndtering: Fx modtagelse af klage fra en lejer over en anden lejer Lokalebooking Opdækning/ servering Information om at mødet skal holdes i stueetagen, da en mødedeltager sidder i kørestol Sagssystem Mødebooking Gæstekort Printer Receptionen Telefonhenvendelse: Andelshaver ringer ind med oplysning om, at boligafgiften ikke kan betales til tiden, da vedkommende er på hospitalet Sletning Office 365 7

8 Overvejelser Retten til at blive glemt: Medfører krav om at vi skal slette data, når vi ikke længere har brug for den Hvornår er det? 8

9 Overvejelser Fru Olsen har skrevet til os i 2012 og bedt om at blive flyttet til en anden lejlighed fordi hendes mand er død. Lejligheden skal være i en bygning, hvor det er tilladt at holde husdyr, da Fru Olsen har en kat. - Brevet er gemt i vores sagsmappe vedrørende Fru Olsen - Hvornår skal vi slette disse oplysninger? 9

10 Overvejelser Både i lejelovgivningen og foreningsretten er mange eksempler på, at information vedrørende en person kan have indflydelse på andres forhold. Fru Olsens forhold kan fx have betydning for lejefastsættelsen af andre lejemål eller for den lejer, der flytter ind i lejemålet efter Fru Olsen - Skal vi så slette disse data? 10

11 Overvejelser Nye data vs. Gamle data Fremadrettet kan vi sørge for at gemme vores data efter nogle nærmere fastsatte kriterier: 1. Data der skal slettes, når Fru Olsen flytter 2. Data der ikke skal slettes, når Fru Olsen flytter Gamle data skal sorteres 11

12 Overvejelser 1. Betragtes de informationer, vi ønsker at behandle, som personoplysninger, således at de er omfattet af forordningen? - Navn og adresse er begge personoplysninger, da ej anonyme - Vær opmærksom på, at der er forskel på personoplysninger og følsomme personoplysninger 12

13 CPR.nr. Hvornår må private bruge andres personnummer Kort fortalt må private virksomheder registrere og på forskellig vis bruge kundens personnummer: når det står i lovgivningen eller når du har givet samtykke til registreringen eller brugen, og der er et relevant og sagligt formål 13

14 CPR.nr. Hvornår er det relevant og sagligt at registrere et cpr.nr.? 1. Når det står i loven Private virksomheder må normalt registrere et personnummer, når det står i lovgivningen. (Eksempel: Kend din kunde, jf. hvidvask) Virksomheden må også bruge et personnummer internt til administrative formål, men kun hvis der er en sammenhæng med det, som står i lovgivningen. Hvis virksomheden vil bruge et personnummer til andet, skal der gives samtykke til det. 14

15 CPR.nr. Hvornår er det relevant og sagligt at registrere et cpr.nr.? 2. Indberetning til SKAT Private, som udbetaler løn, må gerne registrere medarbejdernes personnummer. Det skyldes, at det følger af skattelovgivningen, at de skal give medarbejdernes personnummer til SKAT 15

16 CPR.nr. Hvornår er det relevant og sagligt at registrere et cpr.nr.? 3. En virksomhed må gerne registrere et personnummer, hvis kunden har givet sit samtykke: Hvis der er aftalt digital kommunikation ved brug af e-boks i lejekontrakten, så vil det være relevant og sagligt at indsamle et cpr.nr. Der skal stadigvæk indhentes samtykke! Dvs. aftale om brug af e-boks i lejekontrakten + samtykkeerklæring (allonge til lejekontrakten) 16

17 Betingelser for samtykke Persondataloven 3, stk. 1, nr. 8 og 5 Enhver frivillig, specifik og informeret viljestilkendegivelse, hvorved den registrerede indvilger i, at oplysninger, der vedrører den pågældende selv, gøres til genstand for behandling. Behandlingen skal tillige være rimelig og lovlig. Indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål. Senere behandling må ikke være uforenelig med disse formål. 17

18 Betingelser for samtykke Persondataforordningen art Hvis behandling er baseret på samtykke, skal den dataansvarlige kunne påvise, at den registrerede har givet samtykke til behandling af sine personoplysninger. 2. Hvis den registreredes samtykke gives i en skriftlig erklæring, der også vedrører andre forhold, skal en anmodning om samtykke forelægges på en måde, som klart kan skelnes fra de andre forhold, i en letforståelig og lettilgængelig form og i et klart og enkelt sprog. 3. Den registrerede har til enhver tid ret til at trække sit samtykke tilbage. Det skal være lige så let at trække sit samtykke tilbage som at give det. 4. Et samtykke skal være givet frivilligt. 18

19 Videregivelse af CPR.nr. Videregivelse af personnummer til tredjemand må ikke ske uden samtykke. Skal videregivelse ske ved sikker eller skal filerne være krypteret? Skal du sikre dig at professionelle samarbejdspartnere har sikker e- mail? Har du indgået en databehandleraftale med dine samarbejdspartnere? 19

20 Data Protection Officer = DPO JM: Private virksomheder skal kun i visse situationer udpege en DPO Uanset om man har pligt til det, kan det være hensigtsmæssigt at udpege en frivillig DPO 20

21 Data Protection Officer = DPO Pligt hvis disse 3 betingelser alle er opfyldt: 1. Behandling af personoplysninger er virksomhedens kerneaktivitet 2. Personoplysninger behandles i stort omfang 3. Behandlingen består af regelmæssig og systematisk overvågning af personer eller Behandlingen vedrører følsomme oplysninger (inkl. strafbare forhold) 21

22 1. Kerneaktivitet? I hvor stort omfang behandler I personoplysninger i jeres daglige virke som administratorer? Kan I nævne eksempler på administration, hvor I ikke behandler personoplysninger? Er der forskel på hvor i årshjulet vi er? 22

23 1. Kerneaktivitet? Eksempel på kerneaktivitet fra JM: Forsikringsselskab (forsikringsydelsen er uløseligt er forbundet med behandling af personoplysninger) Privathospital (patientbehandling er uløseligt forbundet med journalbehandling) Ejendomsadministration er uløseligt forbundet med personoplysninger 23

24 2. Er det stort omfang? EU s eksempler på relevante momenter: - Antallet af personer - Mængden af data - Varigheden af behandlingen, herunder om den er permanent - Den geografiske udstrækning af behandlingsaktiviteterne Som ejendomsadministratorer ligger vi inde med meget store mængder personoplysninger Måske forskel på om stor eller lille administration (firma) 24

25 3. Regelmæssig og systematisk overvågning? Overvågning omfatter sporing/profilering af personer med hensyn på at kortlægge fx præferencer, adfærd og holdninger Eksempler fra JM: - Drift af telekommunikationsnetværk - Kreditvurderinger - Lokations-tracking, fx via apps - Adfærdsbaseret markedsføring - Smart cars Har I eksempler fra hverdagen? 25

26 3. Vedrører behandlingen følsomme oplysninger? Følsomme oplysninger er: - Race eller etnisk oprindelse - Politisk, religiøs eller filosofisk overbevisning - Fagforeningsmæssigt tilhørsforhold - Biometrisk data med formål om identifikation - Helbredsoplysninger - Seksuelle forhold - Oplysninger om straffe og børneattest (strafbare) Venteliste til handicapboliger? 26

27 DPO? Meget stor sandsynlighed for at vi bliver underlagt kravene om pligtmæssig ansættelse af en DPO Hvis I ikke mener, at I er omfattet af pligten, skal I kunne påvise at I overholder lovgivningen, fx i et internt notat Jeres overvejelser kan i tvivlstilfælde dokumenteres i et internt notat 27

28 DPO? Kravet om DPO gælder både de dataansvarlige og databehandlerne, hvis de 3 betingelser oven for er opfyldt Kan medfører at begge skal have en DPO eller kun at den ene part skal have en DPO Eksempel: Dataansvarlig er en lille virksomhed (%) og databehandleren er en stor cloudleverandør (+) 28

29 Databeskyttelse gennem standardindstillinger I fremtidige systemer skal man sikre, at man kun behandler de oplysninger, der er nødvendige Man må kun indsamle de nødvendige oplysninger og ikke yderligere (til evt. senere behov) Man må ikke dele oplysninger automatisk 29

30 Databeskyttelse gennem standardindstillinger Eksisterende systemer skal kun leve op til kravene, hvis det er muligt Hvis standardindstillingerne kan ændres, så skal de ændres Hvis standardindstillingerne ikke kan ændres, så skal de ikke ændres før der sker udskiftning / ændring af systemet 30

31 Konsekvensanalyse Det er muligt at udarbejde en fælles konsekvensanalyse, når der er tale om tilnærmelsesvis den samme type systemer og behandlingsaktiviteter Men der vil uanset være pligt til at foretage en ny konsekvensanalyse, hvis risikoen ændrer sig - Formålet ændres - Andre personoplysninger skal behandles 31

32 Fremadrettet Dialog med Datatilsynet - Adfærdskodeks - Branchestandard Vejledning fra Justitsministeriet ultimo april 2017 Ny dansk lovgivning ultimo

33 Hvad skal I gøre IT kan ikke gøre det alene Ledelsen skal også på banen 1. Kortlæg din virksomheds persondata 2. Analyser om virksomheden lever op til reglerne om persondata og de kommende ændringer 3. Fastlæg hvor der skal gøres en indsats for at overholder reglerne om persondata 4. Udarbejd en handlingsplan 5. Foretag løbende kontrol af din virksomhed 33

34 Kurser Ejendomsforeningen Danmark 10. maj Håndtering af persondata Medio juni 2017 Seminar for ledende medarbejdere Efterår 2017 Efteruddannelseskursus for medarbejdere 34

35 Hvis du vil vide mere 35

36 Telefon: Ejendomsforeningen Danmark Nørre Voldgade København K