Den nye databeskyttelsesforordning

Transkript

1 Den nye databeskyttelsesforordning for offentlige myndigheder 1. NOVEMBER 2017 HVORNÅR MÅ VI BEHANDLE PERSONOPLYSNINGER? TILMELD DIG PÅ /DOM17 I SAMARBEJDE MED MAIN PARTNER 1

2 PRAKTISK INFORMATION 1. NOV. 7 LEKT. KR ekskl. moms Afholdes kl på Scandic Copenhagen, Vester Søgade 6, 1601 København V TILMELD DIG PÅ TALERLISTE Anders Valentiner-Branth Advokat og partner, Nielsen Nørager Ordstyrer og indlægsholder på konferencen Cristina Angela Gulisano Direktør Datatilsynet Henrik Udsen Professor, dr.jur. Det Juridiske Fakultet, Københavns Universitet Jens Teilberg Søndergaard Afdelingschef i Lovafdelingen Justitsministeriet Hans Peter Dueholm CTO IBM Nordic Gert Læssøe Mikkelsen Head of Security Lab, ph.d og ekstern lektor Alexandra Instituttet Esben Haugland Kontorchef Justitsministeriet Jens Møller Kommitteret Folketingets Ombudsmand Christian Wiese Svanberg Chief Privacy Officer & Head of Data Protection Rigspolitiets Databeskyttelsesenhed Jesper Husmer Vang Kontorchef Datatilsynet Vibeke Iversen Chefjurist Københavns Kommune Hanne Marie Motzfeldt Lektor, adjunkt Juridisk Institut, Aarhus Universitet 2

3 BLIV KLAR TIL DATA- BESKYTTELSESFOR- ORDNINGEN I 2018 Torsten Nordfjeld Conference Manager [email protected] Direkte: DEN STØRSTE ÆNDRING INDEN FOR PERSONDATA I OVER 20 ÅR! Offentlige myndigheder står over for den største ændring inden for persondataret i over 20 år, når den nye databeskyttelsesforordning og persondatalov 2.0 får virkninger fra 25. maj Det er en omfattende opgave, der rammer en lang række af offentlige myndigheders vitale dele. Uanset om du beskæftiger dig med IT, forvaltning eller ledelse, skal du have styr på persondataretten og juraen, der binder det hele sammen. Konferencen adresserer de områder, som er relevante for offentlige myndigheder. Samtidig har alle talere fokus på, at de nye regler er lige rundt om hjørnet, og at du skal gøres klar til dem. Derfor er de udvalgte indlæg og paneldiskussionerne også centreret om de problemstillinger, der i praksis giver flest udfordringer, når de mange krav skal opfyldes. Indlægsholdere fra maskinrummet Alle indlægsholdere er specielt udvalgte, og mange har siddet i udvalg under Justitsministeriet om forordningen eller har en anden central rolle i lovarbejdet og implementeringen af de nye regler. Det er din garanti for at få belyst de nye regler med specialistviden. Flere spor Konferencen er inddelt i to spor, så I er flere fra samme myndigehed, der kan få målrettet viden på samme tid. Du kan læse mere på side Vi glæder os til at byde dig velkommen på konferencen! Med venlig hilsen Torsten Nordfjeld JUC 3

4 OM KONFERENCEN FORMÅL Konferencen klæder dig på til at møde de krav, der stilles for at leve op til den nye persondataforordning med de nye, danske særregler og de specielle regler, som offentlige myndigheder skal efterleve. MÅLGRUPPE Konferencen er målrettet alle, som arbejder med eller interesserer sig for persondata. Hvad enten du arbejder med persondata i begrænset omfang eller på et teknisk avanceret niveau, så har du mulighed for at lade dig oplyse og inspirere ved at håndplukke dine egne indlæg. Deltagere er typisk offentlige myndigheder eller rådgivere til eller for disse, herunder jurister, IT-teknikere og andre, der har en opgave i at få offentlige myndigheder til at leve op til de krav, der stilles i den nye databeskyttelsesforordning, og efterleve de danske særregler. INDHOLD: Den nye databeskyttelsesforordning, persondataloven 2.0 og implementeringen i Danmark Databeskyttelsesforordningen får virkning fra den 25. maj For offentlige myndigheder betyder det, at forberedelsen til de nye regler medfører et omfattende og intenst arbejde for at blive klar. Det kan være svært at komme rundt om de mange problemstillinger. Det er således et komplekst område, hvor Justittsministeriets betænknng blev på langt overr sider, hvortil kommer, at forordningen er en mastodont, som udgøres af helt nye regler inden for persondata og privacy. Derfor retter konferencen projektørlyset mod alle de væsentligste problemstillinger, som offentlige myndigheder står over for, og i erkendelsen af, at man er nødt til at prioritere indsatsen, er indlæg, teamer m.v. valgt ud fra de områder, hvor det er vigtigst at blive klar. Vælg de indlæg, som passer dig Ud over konferencens HOVEDSPOR kan du vælge mellem to forskellige spor relateret til databeskyttelse: SPOR 1: Databeskyttelsesret SPOR 2: Fokus på IT-sikkerhed Det giver dig en enestående mulighed for at tilpasse niveau og emner til din profil. Vi har inviteret en lang række specialiserede indlægsholdere, som giver dig svar på gråzonerne og de svære problemstillinger. Til hver af de to spor er der et formiddags- og eftermiddagsforløb, og det er muligt at vælge et spor om formiddagen og et andet om eftermiddagen. Dialog Der er indlagt flere paneldebatter, og der vil være mulighed for at have en dialog med dig som deltager, så du har mulighed for at få svar på lige netop de udfordringer, du sidder med. I slutningen af konferencen har du mulighed for 1-1 dialog med indlægsholderne. 4

5 PROGRAM FOR KONFERENCENS HOVEDSPOR Ankomst, registrering og morgenmad Velkomst hvor er de største udfordringer lige nu? Anders Valentiner-Branth, Nielsen Nørager Status fra Justitsministeriet Jens Teilberg Søndergaard, Databeskyttelseskontoret Justitsministeriet fortæller om status for arbejdet med gennemførelse af databeskyttelsesforordningen Status fra Datatilsynet om arbejdet med den praktiske implementering af databeskyttelsesforordningen og arbejdet med vejledningerne fra Artikel 29-gruppen Cristina Angela Gulisano, Datatilsynet Pause Klokken vælges ét af to spor indtil klokken Programmet er delt op i to faglige spor, som alle tager udgangspunkt i arbejdet med den nye databeskyttelsesforordning for offentlige myndigheder. På side 7-10 kan du læse mere om konferencens forskellige spor. SPOR 1 Databeskyttelsesret SPOR 2 Databeskyttelse med fokus på IT-sikkerhed Frokost Hvor tæt på er vi? stil de kritiske spørgsmål til eksperterne Anders Valentiner Branth som ordstyrer og deltagere fra Datatilsynet (Cristina Angela Gulisano), Folketingets Ombudsmand (Jens Møller) og forskerside (Hanne Marie Motzfeldt) 5

6 HOVEDSPORET FORTSAT Folketingets Ombudsmand om databeskyttelsesforordningen og om hjemmelskravene til behandling af oplysninger Jens Møller, Folketingets Ombudsmand Med den nye persondataforordning ændres hjemmelskravene. Det betyder, at offentlige myndigheder skal træffe afgørelser på et helt nyt grundlag, hvor interesseafvejningsreglen fjernes og man henvises til at bruge andre særlige hjemler, som er fastsat ved EU-ret og ved love som f.eks. kommunalfuldmagten. Emner er bl.a.: Oversigt over ændringer hvad forbliver, og hvad ændres med forordningen? Hvornår har man tilstrækkelig hjemmel under forordningen? Interesseafvejningsreglen bliver sværere at bruge under forordningen der gives bud på, hvordan man alligevel gør det Sådan skal offentlige myndigheder reagere praktiske eksempler og cases Pause Klokken vælges igen ét af de to spor. SPOR 1 Databeskyttelsesret SPOR 2 Databeskyttelse med fokus på IT-sikkerhed Programmet er delt op i to faglige spor, som alle tager udgangspunkt i arbejdet med den nye databeskyttelsesforordning for offentlige myndigheder. På side 7-10 kan du læse mere om konferencens forskellige spor Paneldebat: Hvordan kommer vi videre herfra inkl. afslutning på konferencen Anders Valentiner Branth som ordstyrer samt deltagere fra Justitsministeriet (Jens Teilberg Søndergaard), Datatilsynet (Cristina Angela Gulisano) og medlem af ekspertreferencegruppen (Henrik Udsen) Mød indlægsholderne, networking Farvel og tak for i dag *Der tages forbehold for evt. ændringer i programmet, så dette er så relevant som muligt på afholdelsesdagen. Det er samtidig din garanti for, at alle indlæg er helt opdaterede. 6

7 SPOR 1 DATABESKYTTELSESRET Ordstyrer: Anders Valentiner-Branth / Henrik Udsen Case: Rigspolitiet har allerede implementeret Retshåndhævelsesloven før alle andre. Hvad kan vi lære om risikobaserede prioriteringer og danske særregler? Christian Wiese Svanberg, Rigspolitiets Databeskyttelsesenhed Rigspolitiet skal ligesom alle andre implementere nye databeskyttelsesretlige krav, som er vedtaget i EU. En særlig udfordring er imidlertid, at dansk politi ikke blot skal efterleve persondataforordningen men også et særligt direktiv (retshåndhævelsesdirektivet). Sidstnævnte indeholder en lang række af de krav, der følger af forordningen, men gennemføres i dansk ret allerede 1. maj I indlægget får du en unik viden om, hvordan myndigheder kan prioritere og arbejde med at blive klar til forordningen inden d. 25. maj 2018 fra en, der allerede har været gennem øvelsen. Indlægget har udelukkende fokus på forhold i persondataforordningen. Emner, der belyses, er f.eks.: Erfaringer med at implementere persondataforordningen på et begrænset budget på et af de områder i Danmark, hvor der findes mest persondata Erfaringer med DPO-rollen fra et praktisk perspektiv Hvad skal der til for at blive compliant? Gode og konkrete råd til andre offentlige myndigheder Best case om implementeringen og den bedste vej fra A til B Case: implementeringsarbejdet i kommunerne Vibeke Iversen, Københavns Kommune Hvordan har kommunerne valgt at leve op til den nye databeskyttelsesforordning og de nye krav? Borgerne og medarbejderne skal have tillid til kommunernes behandling af personoplysninger, og kommunerne behandler mange personoplysninger på mange forskellige områder. Kommunerne vil derfor i særlig grad blive ramt af de nye regler, bl.a. kravet om, at behandlingen foruden at være lovlig tillige skal være rimelig og transparent. Det gælder indenfor alle områder, herunder det sociale område, beskæftigelsesområdet, integration, skoleområdet, sundheds, ældreområdet m.m. Alt i alt er der tusindvis af behandlingsaktiviteter med personoplysninger, som skal vurderes og dokumenteres. 7

8 SPOR 1 FORTSAT Oplysningspligt over for den registrerede ved indsamling af personoplysninger Jens Møller, Ombudsmanden Den registreredes indsigtsret Ret til berigtigelse af urigtige oplysninger Ret til sletning ( retten til at blive glemt ) Ret til dataportabilitet Ret til indsigelse og automatiske individuelle afgørelser Frokost, hovedspor og pause Videregivelse af oplysninger mellem myndigheder efter databeskyttelsesforordningen Christian Wiese Svanberg, Rigspolitiets Databeskyttelsesenhed Esben Haugland, Justitsministeriet Indlægget går tæt på videregivelsesregler og nødvendighedsvurderingen i den offentlige sektor. Emnet fylder meget i både den kommunale og statslige sektor, hvor mange myndigheder samarbejder om dataudvekslingsprojekter m.v. og er i tvivl om, hvad der gælder Overførsel af oplysninger til tredjelande Henrik Udsen, Københavns Universitet Jesper Husmer Vang, Datatilsynet Indlægget gennemgår offentlige myndigheders muligheder for overførsel af personoplysninger til tredjelande, herunder eksempelvis ved brug af cloudløsninger Emner er bl.a.: Ændringer efter forordningen og de nye danske regler Sidste nyt om praksis, herunder EU-Domstolens praksis om overførsel og oplysninger og opbevaring inden for EU Første årlige revision af EU-U.S. Privacy Shield (efterår 2017). Hvad er konklusionerne? Standardkontrakter: Hvad sker der med standardkontrakterne i lyset af den seneste irske Facebook-sag og Safe Harbor-dommen fra 2015? Kan vi risikere, at standardkontrakterne ikke kan benyttes som overførselsgrundlag? Kan sagerne få afledte konsekvenser for andre overførselsgrundlag, herunder f.eks. Privacy Shield? 8

9 SPOR 2 DATABESKYTTELSE MED FOKUS PÅ IT-SIKKERHED Ordstyrer: Hanne Marie Motzfeldt/ Gert Læssøe Mikkelsen/ Anders Valentiner-Branth Hvordan skal vi arbejde med datasikkerhed? Gert Læssøe Mikkelsen, Alexandra Instituttet Datasikkerhed får en afgørende rolle under den nye forordning. Et godt eksempel er, at man ved tilsynsbesøg tidligere skulle kunne redegøre for fejl, men under den nye databeskyttelsesforordning skal man nu påvise i dokumenter og procedurer, at der er styr på datasikkerheden. Krav og samarbejdet med databeskyttelsesrådgiveren (DPO en) Hanne Marie Motzfeldt, Juridisk Institut, Aarhus Universitet I artikel 37 og 39 påpeges det, at alle offentlige myndigheder skal have en DPO men hvem kan være det? I indlægget svares der på en række spørgsmål, som har givet anledning til stor debat. Emner er bl.a.: Kan man både være rådgiver og DPO? Skal DPO'en være jurist, IT-professionel eller en blanding? Hvem er øverste ledelse? Hvad sker der, hvis DPO en siger, man skal købe nye systemer, og der ikke er budget til det? Whistlebloweradministration og Databeskyttelsesforordningen Hvordan skal vi arbejde med konsekvensanalyser? Best Practice på baggrund af hundredvis af sager Hans Peter Dueholm, IBM Konsekvensanalyser er en af de store knaster for mange offentlige myndigheder, som kan blive en stor økonomisk byrde. Emner, der belyses, er f.eks.: Er det de rigtige personer, som har adgang til systemerne? Hvordan undgår man store omkostninger på at gøre gamle systemer compliant? Best Practice eksempler udvalgt fra hundredvis af sager Databehandlere og systemudbydere af software - hvad er deres rolle i analyserne? Hvordan gør man en kompleks situation overskuelig og mulig at implementere? Frokost, hovedspor og pause 9

10 SPOR 2 FORTSAT Status på de nye regler om datasikkerhed Anders Valentiner-Branth, Nielsen Nørager Emner er bl.a.: Sikkerhedsbekendtgørelsen ophæves Værktøjskassen fra Justitsministeriet Hvad kan vi forvente af fremtiden? Administrative bøder på op til 16. mio. kroner, reglerne om erstatning og profilering Jens Møller, Ombudsmanden og Anders Valentiner-Branth, Nielsen Nørager Den 25. oktober fremsatte justitsminister Søren Pape Poulsen forslaget til den nye Databeskyttelseslov i Folketinget. I forslaget fremgår det, at administrative bøder for brud på databeskyttelse for offentlige myndigheder kan blive op til 4% af driftsbudgettet. I indlægget ser vi på administrative bøder og nye vejledninger fra Artikel 29-gruppen om administrative bøder og om profilering. Der gives også en indføring i de ersatningsregler, der kommer til at gælde i fremtiden. Emner er bl.a.: De nye bøder på op til 4% eller op til 16 mio. kroner i driftsbudgettet Artikel 29-gruppens vejledning om administrative bøder Indholdet af erstatningsreglerne Profilering 10

11 JUC KONFERENCER JUC er en specialiseret kursusvirksomhed, der blev etableret i Vi er førende på det danske marked, når det kommer til kurser, netværk samt konferencer med højaktuelt indhold. Vi har specialiseret os i at formidle jura og fagspecifikt indhold på forskellige niveauer hvad enten modtageren er praktiker eller specialiseret advokat. Vi afholder hvert år arrangementer for mere end deltagere, fordelt på +150 forskellige faglige kurser, +40 faglige netværk samt +10 konferencer i Skandinavien. Alle konferencer hos JUC er meritgivende som obligatorisk efteruddannelse. Samtidig arbejder vi tæt med nogle af de skarpeste eksperter. De fungerer som faglige garanter for det endelige konferenceprogram. Det er vigtigt for os, at vi kun inviterer de bedste og største kapaciteter inden for branchen og ikke går på kompromis. Axelborg Vesterbrogade 4a 1620 København V tlf: [email protected] cvr: