Overblik over Justitsministeriets betænkning og de væsentligste ændringer i persondataforordningen

Transkript

1 Overblik over Justitsministeriets betænkning og de væsentligste ændringer i persondataforordningen Juni 2017

2 Indhold Indledning 03 Overblik over regulering 04 Justitsministeriets betænkning 04 Betænkning 05 Væsentlige punkter i betænkningen 05 Databehandleransvar og databehandleraftaler 06 Bestemmelser om databeskyttelsesrådgivere 07 Gyldighedsbetingelser for samtykke 08 Konsekvensanalyse 09 Fortegnelser over behandlingsaktiviteter 10 Udtrykkelig bestemmelse om data protection by design & by default 11 Anmeldelsespligt ved brud på persondatasikkerheden 12 Den registreredes rettigheder, herunder retten til at blive glemt 13 Retsmidler, ansvar og sanktioner 14 Datatilsynets hjemmeside 15 Vejledninger 16 Er du klar? 17 Bilag 18

3 Indledning Formålet med de næste sider er at give et overblik over Justitsministeriets betænkning, Datatilsynets hjemmeside om persondataforordningen og artikel 29-gruppens vejledninger. Der er i denne folder lagt vægt på de punkter i betænkningen, som knytter sig til de væsentligste hovedområder af persondataforordningen. I denne folder vil persondataforordningen blive omtalt som GDPR, der er en forkortelse for den engelske betegnelse General Data Protection Regulation. I denne folder vil der flere gange blive nævnt den registrerede. Den registrerede er den person, som personoplysningerne vedrører. Det kan fx være kunder, medarbejdere, leverandører, samarbejdspartnere eller andre personer. Persondataforordningen 3

4 Overblik over regulering Persondataforordningen GDPR finder anvendelse fra 25. maj Forordningen finder direkte anvendelse i alle medlemsstater. Der er en række bestemmelser, der er overladt til den nationale lovgivningsmagt at afgøre. Justitsministeriets betænkning Justitsministeriet har udstedt Betænkning nr. 1565/2017, hvor der blandt andet gives svar på en række spørgsmål, som GDPR har rejst. Betænkningen skal danne grundlag for en ny version af persondataloven. Betænkningen skal desuden danne grundlag for en række vejledninger, som Justitsministeriet vil udstede frem mod 25. maj Datatilsynets hjemmeside, herunder artikel 29-gruppens vejledninger Datatilsynets hjemmeside om GDPR, dbreform.dk, indeholder nyheder fra Danmark og EU, samt vejledninger fra artikel 29-gruppen. Justitsministeriets betænkning Overblik Del 1 bind 1 og 2 Del 1 er selve betænkningen, hvor nugældende lov sammenlignes med retstillingen efter persondataforordningen finder anvendelse. Del 2 Del 2 er bilag til betænkningen og indeholder vurderinger af særlovgivning på de enkelte ministerområder. 4 Persondataforordningen

5 Betænkning Væsentlige punkter i betænkningen Det fremgår af betænkningen, at mange af principperne i GDPR allerede er gældende i henhold til den nuværende persondatalov. De væsentligste hovedområder i GDPR er: Databehandleransvar og databehandleraftaler Bestemmelser om databeskyttelsesrådgivere (Data Protection Officers DPO) Gyldighedsbetingelser for samtykke Konsekvensanalyse (Data Protection Impact Assessment DPIA) Fortegnelser over behandlingsaktiviteter (Dokumentationspligten) Udtrykkelig bestemmelse om data protection by design and by default Anmeldelsespligt ved brud på persondatasikkerheden Den registreredes rettigheder, herunder retten til at blive glemt Retsmidler, ansvar og sanktioner. Det er vores vurdering, at der lægges vægt på, at der i virksomhederne skabes awareness om reglerne i GDPR, samt hvordan den enkelte virksomhed overholder forordningen. Persondataforordningen 5

6 Databehandleransvar og databehandleraftaler Databehandleransvar GDPR indfører som noget nyt, at databehandlere kan blive pålagt et selvstændigt persondataretligt ansvar, blive underlagt inspektioner og tildelt bøder, ligesom de fremover skal kunne hjælpe den dataansvarlige med at opfylde sine pligter efter GDPR. Databehandleraftaler Når behandlingen af personoplysninger overlades til en serviceleverandør, skal der som hidtil foreligge en databehandleraftale, der sikrer, at reglerne i GDPR overholdes. Der skal i denne aftale være fastsat nærmere retningslinjer om servicel everandørens behandling af personoplysningerne. Med ikrafttrædelsen af GDPR skærpes kravene til indholdet af databehandleraftaler. Hvad er en dataansvarlig? Den fysiske eller juridiske person der afgør til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger. Det afgørende er således, hvem der juridisk og/eller faktisk afgør, hvordan personoplysninger skal behandles (hvem har ejerskabet til personoplysningerne). En dataansvarlig kan fx være en virksomhed eller organisation, der behandler personoplysninger om sine medarbejdere eller kunder. Hvad er en databehandler? Den fysiske eller juridiske person der behandler personoplysninger på den dataansvarliges vegne. En databehandler kendetegnes altså ved kun at behandle personoplysninger på vegne af (efter instruks fra) en dataansvarlig. Databehandleren behandler således aldrig personoplysninger til egne formål. En databehandler kan fx være en virksomhed, som varetager en anden virksomheds ITsystemer, et inkassobureau, som inddriver gæld for den data ansvarlige, et rekrutterings bureau eller en cloudleverandør. 6 Persondataforordningen

7 Bestemmelser om databeskyttelsesrådgivere GDPR indfører krav om, at visse virksomheder skal udpege en intern eller ekstern databeskyttelsesrådgiver (DPO). DPO en skal udpeges på baggrund af faglige kvalifikationer. Ifølge Justitsministeriets betænkning er der fx krav om, at forsikringsselskaber skal have en DPO. Ifølge Justitsministeriets betænkning bør der ved vurderingen af faglige kvalifikationer lægges vægt på, at personen har tilstrækkelig uddannelse og erfaring, der medfører, at den pågældende person er i stand til at vurdere, om konkrete behandlingsaktiviteter overholder forordningens regler samt andre relevante databeskyttelsesregler. DPO en skal vælges på baggrund af ekspertise inden for databeskyttelsesret og -praksis. Niveauet af ekspertisen afhænger af mængden, følsomheden og kompleksiteten af de personoplysninger, som den pågældende virksomhed behandler. Det er således en konkret vurdering for den enkelte virksomhed. Betænkningen fastslår, at DPO en ikke i medfør af GDPR behøver have en specifik baggrund, som fx jurist. DPO en kan fx være virksomhedens compliance officer, men må ikke være den it- eller HR-ansvarlige. DPO en skal aktivt inddrages i overvejelser og beslutninger vedrørende overholdelse af GDPR. Persondataforordningen 7

8 Gyldighedsbetingelser for samtykke Det følger af nugældende lovgivning og GDPR, at samtykke er en af flere mulige behandlingshjemler. GDPR viderefører kravene om, at den dataansvarlige skal kunne påvise, at den registrerede har afgivet samtykke. Den registrerede skal derudover være oplyst om, at samtykket kan trækkes tilbage. For at den dataansvarlige skal kunne påvise, at der er givet samtykke, skal der indføres standardmetoder og -mekanismer, der kan indhente og bevise, at der er afgivet utvetydigt samtykke, jf. betænkningen. Der er ikke noget krav om, at samtykket skal være skriftligt, så længe det kan påvises. Med hensyn til samtykker, der er indsamlet inden 25. maj 2018 kan disse danne grundlag som behandlingshjemmel, såfremt de opfylder kravene i forordningen. Det er således ikke nødvendigt, at den registrerede afgiver nyt samtykke. Et samtykke skal, efter 25. maj 2018, indeholde information om, hvordan et samtykke trækkes tilbage. Hvis muligt bør den registrerede blive informeret om retten til at trække samtykket tilbage, inden GDPR finder anvendelse. 8 Persondataforordningen

9 Konsekvensanalyse Det følger af GDPR, at såfremt en behandling sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder, skal den dataansvarlige, forud for behandlingen, foretage en konsekvensanalyse (Data Protection Impact Assessment DPIA). Det er vores vurdering, at eksempelvis banker, der konsekvent tv-overvåger pengeautomater, vil være nødsaget til at foretage en DPIA. Konsekvensanalyser skal udarbejdes fra den registreredes perspektiv. Af betænkningen fremgår det, at såfremt en behandling indeholder to eller flere af nedenstående elementer, vil det i højere grad kunne medføre høj risiko: Systematisk omfattende vurdering af fysiske personers personlige forhold, baseret på automatisk behandling, herunder profilering Behandling i stort omfang af særlige kategorier af personoplysninger Systematisk overvågning af et offentligt tilgængeligt område i stort omfang Behandlingen kan føre til berøvelse af den registreredes rettigheder eller forhindre den registrerede i at udøve kontrol med deres person oplysninger Behandling af personoplysninger om sårbare fysiske personer, samt børn. Persondataforordningen 9

10 Fortegnelser over behandlingsaktiviteter Ifølge GDPR skal den dataansvarlige føre fortegnelser over behandlingsaktiviteter. Af forordningens tekst fremgår en række punkter, som fortegnelsen skal indeholde. Betænkningen indeholder et eksempel på, hvordan en fortegnelse kan se ud. Eksemplet er vedlagt som bilag 1. I eksemplet er de enkelte punkter uddybet af Justitsministeriet, fx: Formål: et samlet, logisk sammenhængende formål med en behandling eller en række af behandlinger, som hermed angives som ét formål ud af alle samlede formål hos den dataansvarlige Tekniske og organisatoriske sikkerhedsforanstaltninger: hvis muligt skal der gives en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger 10 Persondataforordningen

11 Udtrykkelig bestemmelse om data protection by design & by default I GDPR indføres principperne privacy by design (databeskyttelse gennem design) og privacy by default (databeskyttelse gennem standardindstillinger). I lyset af den digitale udvikling vil privacy by design and default skulle tænkes ind og implementeres i processer og systemer, samt den måde virksomheden behandler personoplysninger på. Ifølge betænkningen omfatter databeskyttelse gennem design og databeskyttelse gennem standardindstillinger både tekniske og organisatoriske foranstaltninger. I forhold til standardindstillingerne indebærer reglerne, at første gang en tjeneste stilles til rådighed for en fysisk person, skal de relevante indstillinger som standard indebære den mindst mulige deling af personoplysninger. Det skal endvidere altid være muligt for den registrerede at ændre indstilling for deling af personoplysninger i fx en app. Gennem standardindstillinger skal det sikres, at kun personoplysninger, der er nødvendige til et specifikt formål, behandles. Den dataansvarlige er forpligtet til at overveje og håndtere, hvordan der gennem tekniske og organisatoriske foranstaltninger kan sikres databeskyttelse gennem design og standardindstillinger, både i forberedelsesfasen og i behandlingen af personoplysninger. Persondataforordningen 11

12 Anmeldelsespligt ved brud på persondatasikkerheden I GDPR indføres pligter for den dataansvarlige i forbindelse med sikkerhedsbrud. Den dataansvarlige skal anmelde et brud på persondatasikkerheden inden for 72 timer efter den dataansvarlige er blevet bekendt med, at der er sket et sådant. Det skal gennem en risikovurdering undersøges, om der er sket et brud på persondatasikkerheden. Ifølge betænkningen er nedenstående eksempler på brud på persondatasikkerheden: Den dataansvarliges it-system er ikke tilstrækkeligt sikret fx grundet manglende kryptering, der medfører, at uvedkommende får adgang til personoplysninger. Den dataansvarlige ubeføjet videregiver personoplysninger. Den dataansvarliges medarbejdere ændrer eller sletter personoplysninger ved et uheld. Det følger af betænkningen, at en simpel formodning om, at der er sket et brud på persondatasikkerheden, ikke vurderes at være et brud, der er sket i forordningens forstand. En simpel formodning kan dog bevirke, at den dataansvarlige skal overveje behandlingssikkerheden i forordningens art Persondataforordningen

13 Den registreredes rettigheder, herunder retten til at blive glemt Den registreredes rettigheder er præciseret og i visse tilfælde også skærpet i GDPR, i forhold til gældende ret. Den registrerede har i henhold til GDPR flere rettigheder, herunder bl.a. indsigtsret, ret til berigtigelse, ret til dataportabilitet, indsigelsesret, ret til begrænsning af behandling og ret til ikke at være genstand for profilering. Den registrerede er også berettiget til at kræve, at den dataansvarlige sletter personoplysninger uden unødig forsinkelse. Dette medfører således i visse tilfælde en pligt for den dataansvarlige til at slette personoplysningerne uden unødig forsinkelse. Retten til at blive glemt (ret til sletning) Ifølge betænkningen skal den dataansvarlige, såfremt personoplysningerne er offentliggjort, forpligtes til at underrette de dataansvarlige, der behandler personoplysningerne om den registreredes anmodning om sletning. Herefter skal alle links, kopier eller gengivelser af personoplysningerne slettes. Ved personoplysninger, som den dataansvarlige har offentliggjort, udvides den registreredes ret til at få slettet sine personoplysninger. Den dataansvarlige skal træffe rimelige foranstaltninger for at underrette andre dataansvarlige om sletning af personoplysningerne. Hvilke foranstaltninger, der skal træffes, afhænger af den teknologi, der er tilgængelig, og omkostningerne ved implementering. GDPR og anden lovgivning Man skal være opmærksom på, at der kan være anden lovgivning, der indeholder specifikke regler om opbevaring af personoplysninger, fx bogføringsloven, forældelsesloven og hvidvaskloven. Disse love kan altså være med til at præcisere, hvor længe man må opbevare og behandle person oplysninger, og hvornår man skal slette dem igen. Persondataforordningen 13

14 Retsmidler, ansvar og sanktioner Det er forskelligt i de forskellige EUlande, hvordan der ifaldes bøder og straf. I Danmark har den registrerede både mulighed for at indgive en klage til Datatilsynet og for at anlægge en sag ved Domstolene. Den ene mulighed afskærer således ikke den anden. Danmark og Estland adskiller sig fra de resterende EU-lande, idet bøder skal igennem det retlige system. Det bemærkes, at grupperepræsentanter har mulighed for at anlægge gruppesøgsmål på vegne af de registrerede. Eksempler på grupperepræsentanter: Forbrugerorganisationer Foreninger Institutioner... og lignende. 14 Persondataforordningen

15 Datatilsynets hjemmeside Datatilsynets nye hjemmeside om GDPR dbreform.dk opdateres løbende med nyheder inden for EU og DK, vejledninger fra artikel 29-gruppen m.m. Datatilsynet har udarbejdet en liste med 12 spørgsmål, som tilsynet anbefaler, at dataansvarlige forholder sig til. Spørgsmålene har til formål at forberede de dataansvarlige på persondataforordningen, der finder anvendelse fra 25. maj Vi vurderer, at det er en god tjekliste at starte ud med for at identificere, hvad virksomheden skal forholde sig til, i vurderingen af om den overholder reglerne. Persondataforordningen 15

16 Vejledninger Artikel 29-gruppen Justitsministeriet og Datatilsynet Artikel 29-gruppen ( the Article 29 working party ) udgiver vejledninger til fortolkning af GDPR. Indtil videre har gruppen udarbejdet vejledninger om: Dataportabilitet: Dataportabilitet medfører, at den registrerede har ret til at få overført sine personoplysninger fra én dataansvarlig til en anden. Databeskyttelsesrådgivere. Den ledende tilsynsmyndighed: Datatilsynet får som Danmarks ledende tilsynsmyndighed større beføjelser i medfør af GDPR. Justitsministeriet og Datatilsynet forventer at komme med følgende vejledninger: Generel informationspjece om forordningen september 2017 Databeskyttelsesrådgiver september 2017 Overførsler af personoplysninger til tredjelande september 2017 Dataansvarlige og databehandlere oktober 2017 Samtykke oktober 2017 Fortegnelse november 2017 Adfærdskodekser og certificeringsordninger december 2017 Behandlingssikkerhed december 2017 Databeskyttelse gennem design og standardindstillinger december 2017 Konsekvensanalyse december 2017 Cloud computing december 2017 Håndtering af brud på persondatasikkerhed januar 2018 Registreredes rettigheder januar Persondataforordningen

17 Er du klar? Hvordan vil din virksomhed reagere på nedenstående scenarier? 1. En registreret vil have oplyst, hvilke personoplysninger din virksomhed har om ham/hende. 2. En registreret kontakter jer og vil gerne have sine personoplysninger slettet/udleveret. 3. En medarbejder vil have oplyst/ udleveret/slettet sine personoplysninger. 4. En registreret kontakter jer og vil gerne trække sit samtykke tilbage. 5. I opdager, at der er sket et sikkerhedsbrud. 6. Datatilsynet beder jer redegøre for, hvordan forordningens regler efterleves. 7. Jeres virksomhed fungerer som databehandler hvilke krav skal I overholde i den forbindelse? Du er altid velkommen til at kontakte os, hvis du har spørgsmål. Kontakt os Jørgen Sørensen Partner Advisory T : E: [email protected] Helle Dreyer Director Financial Services T: E: [email protected] Christian Kjær Partner Assurance T: E: [email protected] Persondataforordningen 17

18 Bilag Udsnit af eksempel på fortegnelser over behandlingsaktiviteter fra Justitsministeriets betænkning Formål (-ene) Kategorierne af registrerede og kategorierne af personoplysningerne dennes kontaktoplysninger (adresse, hjemmeside, telefonnummer og ) Behandlingens eller behandlingernes formål (et samlet, logisk sammenhængende formål med en behandling eller en række af behandlinger, som hermed angives som ét formål ud af alle samlede formål hos den dataansvarlige) Kategori af registrerede personer (eksempelvis borger/kunder, partsrepræsentanter nuværende eller tidligere ansatte, andre virksomheder, andre myndigheder mv.) [email protected] Personaleadministration Der behandles oplysninger om følgende kategorier af registrerede personer: a) Ansøgere b) Ansatte c) Tidligere ansatte d) Pårørende e) Borger der henvender sig til Københavns Kommune f) Politikere Udsnit fra Betænkning nr. 1565/2017, s Oplysninger, som behandles om de registrerede personer (afkryds og beskriv de typer af oplysninger, som er omfattet af behandlingsaktiviteterne) 460 Oplysninger, som indgår i den specifikke behandling. Beskriv: Identifikationsoplysninger Oplysninger vedrørende ansættelsesforholdet til brug for administration, herunder stilling og tjenestested, lønforhold, oplysninger af relevans for lønindeholdelse, personalepapirer, uddannelse og sygefravær. Race eller etnisk oprindelse Politisk, religiøs eller filo- X X 18 Persondataforordningen

19 Denne publikation er udarbejdet alene som en generel orientering om forhold, som måtte være af interesse, og gør det ikke ud for professionel rådgivning. Du bør ikke disponere på baggrund af de oplysninger, der er indeholdt i denne publikation, uden at indhente specifik professionel rådgivning. Vi afgiver ingen erklæringer eller garantier (udtrykkeligt eller underforstået) hvad angår nøjagtigheden og fuldstændigheden af de oplysninger, der findes i publikationen, og, i det omfang loven tillader, accepterer eller påtager PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, dets aktionærer, medarbejdere og repræsentanter sig ikke nogen forpligtelse, ansvar eller agtpågivenhedspligt for eventuelle konsekvenser, som følger af, at du eller andre handler eller undlader at handle i tillid til de oplysninger, der findes i publikationen, eller for eventuelle beslutninger truffet på baggrund af publikationen PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab. Alle rettigheder forbeholdes. I dette dokument refererer PwC til PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, som er et medlemsfirma af PricewaterhouseCoopers International Limited, hvor hver enkelt virksomhed er en særskilt juridisk enhed.

20 Succes skaber vi sammen... Revision. Skat. Rådgivning.