7. NOVEMBER Side 1. Udbud og persondata. Advokat Jesper Nørøxe samt advokat Rasmus Holm Hansen

Transkript

1 Side 1 Udbud og persondata Advokat Jesper Nørøxe samt advokat Rasmus Holm Hansen

2 Side 2 Det nye retlige landskab forordningen Persondataloven (og bekendtgørelserne udstedt i medfør af den) ophæves Forordningen bliver det primære retsgrundlag Forordningen er almengyldig. Den er bindende i alle enkeltheder og gælder umiddelbart i Danmark og de andre medlemsstater. Forordningen skal fortolkes ikke implementeres One continent one law? Ikke helt 88 sider 173 præambelbetragtninger 99 artikler

3 Side 3 Overblik over ændringer i persondatareglerne Formål og genstand, jf. art. 1, materielt og territorialt anvendelsesområde, jf. art. 2-3 Definitioner, jf. art. 4 Behandlingsprincipper, jf. art. 5. Behandlingshjemmel, jf. art Gennemsigtighed og de registreredes rettigheder, jf. art Ansvarlighed og dokumentation (accountability), jf. art. 24 og 30 Privacy by design og by default, jf. art. 25 Dataansvarlig og databehandler, jf. art Behandlingssikkerhed, jf. art. 32, og anmeldelse af og underretning om brud på sikkerheden, jf. art Konsekvensanalyse og høring af tilsynet, jf. art Databeskyttelsesrådgivere, jf. art Adfærdskodeks og certificering, jf. art Overførsel af oplysningerne til tredjeland, jf. art Tilsyn, jf. art Samarbejde mellem staternes tilsyn, jf. art og art. 67 og hasteprocedure, jf. art. 66 Databeskyttelsesrådet, jf. art og Retsmidler, ansvar og sanktioner, jf. art Bestemmelser vedr. specifikke behandlingssituationer, jf. art Delegerede retsakter og gennemførelsesforanstaltninger, jf. art Afsluttende bestemmelser, herunder ophævelse af direktivet og ikrafttræden, jf. art = Betydelige ændringer = Middelstore ændringer = Mindre eller ingen ændringer

4 Side 4 Det persondataretlige univers Telefonnummer Identifikationsnummer Personoplysninger Alle oplysninger om en identificeret eller identificerbar fysisk person Navn CV Helbredsoplysninger CPRnummer Fagforeningsmæssigt tilhørsforhold Oplysninger om straffeovertrædelser

5 Persondata i en udbudsretlig kontekst Side 5 Milestones: Frister*: Passende og realistisk frist Minimim 30 dage Passende og realistisk frist [2-3 uger] Minimim 30 dage Passende og realistisk frist [1-3 uger] Passende og realistisk frist [1-3 uger] Passende og realistisk frist [1-3 uger] Passende og realistisk frist [1-3 uger] 18 dage*** Standstill 10 dage Maksimalt 30 dage Dato: [dato] [dato] [dato] [dato] [dato] [dato] [dato] [dato] [dato] [dato] [dato] [dato] Persondataretlige opmærksomhedspunkter Personoplysninger: Hvad er personoplysning er? Håndteres der personoplysning er i denne sag; hos ordregiver og/eller hos Leverandøren. Konsekvensana lyse Til brug for kravspecificerin g mv. Krigsreglen: Skal krigsreglen finde anvendelse? Kontraktuel regulering: Er den fornødne regulering indeholdt i kontrakten? Kravspecificering Er de relevante og nødvendige persondataretl ige krav stillet? * Antallet af prækvalificerede ansøgere, der opfordres til at afgive tilbud kan begrænses til 3. ** Mulighed for kontrakttildeling på baggrund af det indledende tilbud. Tildeles kontrakten på baggrund af dette tilbud, undlades aktiviteterne i de blåmarkerede felter. *** Deltager der udenlandske virksomheder, kan der være behov for en længere frist. ESPD: Iagttagelse af anmeldelseskrav. Intern håndtering af modtagne personoplysninger. Persondata som forhandlingstema: Forståelse af persondataretlige krav Forhandling om persondataretlig ansvarsfordeling. Databehandleraftale: Indgåelse af databehandleraftale Revideret konsekvensanalyse: Gennemførelse af fornyet konsekvensanalyse. Løbende kontrol af databehandleres/under databehandleres behandling af Overførsel til 3. personoplysninger. lande: Samtykke til overførsel af personoplysninger til 3. lande. Sikring af overførselsgrundlag Ændringer Ændringer som følge af ny lovgivning (ved implementerin g af national lovgivning). De registreredes rettigheder Praktisk håndtering af de registreredes rettigheder

6 Side 6 Persondataretlig regulering i kontrakten Ydelser Vederlag Præceptiv lovgivning Bilag (Databehandleraftale) Underleverandører Ansvarsfordeling Audit Krigsreglen Kundens data Varighed Ændringer

7 Side 7 Ydelsen Leverandøren er herudover forpligtet til at levere de Ydelser, der følger af Bilag [x]*. Disse Ydelser skal leveres som en integreret del af Leverandørens øvrige ydelser, dog således at Leverandørens bistand omfattet af Bilag [x]*, punkt [x]**, skal leveres som konsulentydelser, idet omfang Kunden anmoder herom. Det er vigtigt, at det er tydeligt reguleret i kontrakten, hvordan og hvornår ydelserne skal leveres. * Databehandleraftalen ** Afgrænsning af de persondataretlige ydelser, som Leverandøren er berettiget til særskilt vederlag for. Det kan fx være ydelser, som leverandøren levere til brug for Kundens opfyldelse af sine forpligtelser som dataansvarlig.

8 Side 8 Vederlag Leverandøren påtager sig at levere løbende konsulentbistand fra tidspunktet for afklaringsfasens afslutning, herunder i form af f.eks. uddannelse, løbende rådgivning og bistand til Kunden i overensstemmelse med Bilag [x]*, punkt [x]. Konsulentbistand skal leveres på Kundens anmodning og i overensstemmelse med Kontrakten i øvrigt. Leverandørens vederlag for konsulentydelser sker efter medgået tid og i overensstemmelse med de i Bilag [x]** anførte priser for ydelser efter medgået tid. Forpligtelsen består indtil Kontraktens ophør, jf. punkt [x]. * Databehandleraftalen ** Vederlagsbilaget

9 Side 9 Persondatalovgivningen og ansvarsfordeling Såfremt Leverandørens udførelse af ydelser under Kontrakten indebærer behandling af personhenførbare oplysninger, er Leverandøren til enhver tid forpligtet til at sikre, at den til enhver tid gældende dansk persondatalovgivning i Danmark overholdes, for nuværende særligt persondataloven (lov nr. 421 af 31. maj 2000 med senere ændringer), og sikkerhedsbekendtgørelsen (bekendtgørelse 528/2000 med senere ændringer), og fra den 25. maj 2018 Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse). Leverandørens forpligtelser som databehandler er nærmere reguleret i den af Kunden og Leverandøren indgået Databehandleraftale, jf. Bilag [x]*. Leverandøren må ikke påbegynde behandling af personoplysninger forinden Databehandleraftale er indgået. Leverandørens ydelser i relation til nærværende punkt og bilag [x]* vederlægges ikke særskilt. Såfremt Kunden anmoder Leverandøren om yderligere assistance med henblik på opfyldelse af sine forpligtelser som dataansvarlig, jf. Bilag [x]*, punkt [x]**, sidste afsnit, vederlægges Leverandøren for disse ydelser i overensstemmelse med punkt [x]***. Leverandøren skal skadesløsholde Kunden, såfremt Kunden bliver mødt med krav fra tredjepartmand som følge af, at Leverandøren i sin rolle som databehandler har overtrådt den til enhver tid gældende persondataretlige lovgivning. Leverandøren hæfter kun for skader, hvis Leverandøren ikke har opfyldt sine forpligtelser som databehandler, som det følger af den til enhver tid gældende lovgivning, eller hvis Leverandøren som databehandler har undladt at følge eller handlet i strid med Kundens lovlige instruks. * Databehandleraftalen ** Afgrænsning af de persondataretlige ydelser, som Leverandøren er berettiget til særskilt vederlag for. Det kan fx være ydelser, som leverandøren levere til brug for Kundens opfyldelse af sine forpligtelser som dataansvarlig. *** Vederlagsbestemmelse for konsulentydelser (timebaserede ydelser)

10 Side 10 Ændringer I overensstemmelse med de anførte retningslinjer, kan følgende ændringer foretages i medfør af kontrakten: [ ] Ændring som følge af gennemførte konsekvensanalyser i henhold til databeskyttelsesforordningens artikel 35, herunder ændringer med henblik på implementering af de nødvendige foranstaltninger for at begrænse de identificerede risici. Ændring af sikkerhedsniveauer mv., jf. Bilag [x]. Ændring af omfanget og/eller indholdet af kontraktens punkt [x] om krigsreglen, som følge af eventuelle ændrede forudsætninger for persondatalovens bestemmelser herom. Ændring af kontaktpunkter og relevante procedurer i Bilag [x], når Kunden i overensstemmelse med databeskyttelsesforordningen, udpeger en databeskyttelsesrådgiver. Ændring som følge af ændret lovgivning, herunder andre end de ovenfor anførte ændringer, som foretages med henblik på implementering af kravene i databeskyttelsesforordningen.

11 8. JUNI 2017 Side 11 Konsekvensanalyse (DPIA)

12 8. JUNI DPIA Data Protection Impact Assessment (art. 35) Beskrivelse af behandling Karakteren af oplysningerne og datasubjekterne, dels omfanget af oplysningerne Aktiviteter, hvor personoplysninger behandles i systemet Formålet med de enkelte processer, hvor der behandles personoplysninger Vurdering af nødvendighed og proportionalitet Er behandlingen af personoplysninger er nødvendig for at opfylde formålene det vil sige for at myndigheden kan løse sine opgaver og Står behandlingen i rimeligt forhold til formålene, herunder om en løsning med mindre risici for datasubjekterne vil kunne opfylde samme formål som den påtænkte løsning Vurdering af risici Identificering af hvilke hændelser hos myndigheden, der kan føre til en risiko for datasubjekternes rettigheder, dvs. en identificering af en risikos oprindelig, karakter og særegenhed. Identificering af hvilken konsekvens en hændelse kan få for datasubjekterne. Vurderingen besvarer, hvorvidt der er en lav, middel eller høj risiko for datasubjekterne. Beskrivelse af foranstaltninger Beskrivelse af nødvendige sikkerhedsforanstaltninger, som imødegår de identificerede risici, og som en ny/eksisterende leverandør og/eller myndigheden skal implementere, Identificering og beskrivelse af garantier og mekanismer, der skal sikre og vise, at hvordan myndigheden i det pågældende system overholder forordningen og beskytter datasubjekterne, f.eks. hvordan oplysninger ajourføres. Beskrivelsen af foranstaltningerne giver et svar på, om risikoen kan mitigeres tilstrækkeligt.

13 8. JUNI Konsekvensanalyser høringspligt Hvis en konsekvensanalyse viser, at en behandling indebærer en høj risiko og denne risiko ikke kan nedbringes ved mitigerende foranstaltninger, skal der ske høring af tilsynet, jf. art. 36 og præambelbetragtning 84. I forbindelse med høringen skal tilsynet bl.a. have oplysninger om Den planlagte behandlings formål og hjælpemidler Foranstaltninger og garantier til beskyttelse af de registrerede rettigheder og frihedsrettigheder DPO ens kontaktoplysninger Konsekvensanalysen Oplysninger om tilsynsmyndigheden anmoder om Anbefalinger Begynd på konsekvensanalyser i god tid det tager længere tid end man tror! Indhent de nødvendige oplysninger fra forretningskyndige, udviklere mv. Sørg for at resultaterne af DPIA en bliver kommunikeret ud til de personer, der står for anskaffelsen af det nye it-system, opgaven som behandlingen skal understøtte mv. Involvér jeres DPO! Ifølge Justitsministeriet er der ikke krav om DPIA ift. allerede eksisterende systemer (men overvej ved ændringer) Brug artikel 29-gruppens vejledning om konsekvensanalyser: pdf

14 8. JUNI 2017 Side 14 Privacy by design og privacy by default

15 Side 15 Privacy by design og by default By design: Pligt til i videst muligt omfang at indføre passende tekniske og organisatoriske foranstaltninger, som er designet til at opfylde kravene i forordningen og sikre de registreredes rettigheder. By default: Pligt til i videst muligt omfang at gennemføre passende tekniske og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at sikrede registreredes rettigheder. Default betyder, at beskyttelsen er indlejret (som en standard), og databehandling eller fravigelse skal aktiveres, dvs. være et tilvalg. Vi kender allerede godt til privacy by design i dag Ombudsmanden i EFI-sagen (sag , s. 2): det er et grundlæggende krav, at IT-systemer kan understøtte en korrekt anvendelse af relevant lovgivning, og dette kan i sagens natur klart bedst sikres ved en tilstrækkelig tidlig identifikation og systemindarbejdelse af de pågældende regelsæt Systemer og processer skal leve op til alle persondatalovens regler Pr. 78: [ ] Der bør også tages hensyn til principperne om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger i forbindelse med offentlige udbud.

16 Side 16 Privacy by design og default i praksis Pligten til privacy by design medfører ikke, at ældre systemer rent teknisk skal re-designes. Men så skal der kompenseres for systemets manglende muligheder ved organisatoriske foranstaltninger, så forordningen overholdes. (Se bet 1565, s. 416.) Pligten til privacy by default medfører ikke, at eksisterende systemer, der overholder gældende ret, skal re-designes. Såfremt det er muligt at ændre standardindstillingerne i systemet, vil disse skule ændres i overensstemmelse med kravet om privacy by default. (Se bet 1565, s. 419.) Gode råd Sørg for at tænke databeskyttelse ind allerede nu i fremtidige løsninger og processer Databeskyttelse, herunder dataminimering og pseudonymisering, skal tænkes ind i arbejdet med nye systemer og processer allerede fra det overordnede design, i anskaffelsen og til konkret løsning. Databeskyttelse skal endvidere tænkes ind via standardindstillinger i jeres forretningsgange og politikker. Sørg for at sikre den kontraktretlige understøttelse af kravene Formulér præcise krav: Ansvaret kan ikke udliciteres til systemleverandøren

17 8. JUNI 2017 Side 17 Databehandlere

18 8. JUNI 2017 Side 18 Rollernes afhængighed Den dataansvarlige er i høj grad afhængig af databehandleren i forhold til at kunne imødekomme persondataforordningens krav. Den dataansvarlige hæfter solidarisk med databehandleren over for den registrerede for databehandlerens manglende overholdelse af forordningens krav. Der er derfor god grund til, at gøre sig umage når kravene til databehandleren fastsætte, herunder at disse krav gøres så operationelle, at opfyldelsen af kravene kan kontrolleres af den dataansvarlige.

19 8. JUNI 2017 Side 19 Krav til databehandleraftalen Det følger af databeskyttelsesforordningens artikel 28, stk. 3, at: En databehandlers behandling skal være reguleret af en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, der er bindende for databehandleren med hensyn til den dataansvarlige, og der fastsætter genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder. [ ]

20 8. JUNI 2017 Side 20 Databehandleraftalens indhold (Fortsat) Endvidere skal databehandleraftalen navnlig fastsætte: (a) Instruks fra den dataansvarlige. (b) Fortroligheds-/tavshedsforpligtelse. (c) Krav om iværksættelse af foranstaltninger efter art. 32 (behandlingssikkerhed). (f) Krav om bistand til den dataansvarlige ift. opfyldelsen af art (g) Forpligtelse til at slette og tilbagelevere data. (h) Forpligtelse til at stille alle nødvendige oplysninger til rådighed. (d) Krav til brugen af underdatabehandlere. (e) Forpligtelse til bistand ved besvarelse af anmodninger udøvelse af de registreredes rettigheder. Artikel 28, stk. 3, litra a-h

21 8. JUNI 2017 Side 21 Tredjelandsoverførsler

22 Side 22 Hvornår er et land et tredjeland og hvad er formålet med opdelingen? Personoplysninger kan frit overføres mellem landene inden for EU. Alle lande uden for EU har karakter af tredjelande særlige krav skal opfyldes førend personoplysninger må overføres til sådanne lande. Hvad er baggrunden for kategoriseringen af tredjelande? Hvornår er der tale om en overførsel af personoplysninger?

23 Side 23 Persondatatesten - et nyt produkt

24 Side 24

25 Side 25

26 Side 26

27 Side 27

28 Side 28

29 Side 29

30 Side 30

31 Spørgsmål? 1. FEBRUAR 2017