Overblik over persondataforordningen. v/advokat Jesper Løffler Nielsen

Transkript

1 Overblik over persondataforordningen v/advokat Jesper Løffler Nielsen 1

2 Agenda Målsætning - Overblik over persondataforordningen Indhold og konsekvenser Konkrete emner 1. Hvad er persondata? 2. Hvorfor skærpes reglerne? 3. Præsentation af reglerne de gældende og de nye 4. Gennemførelse af et compliance-projekt 5. Relevante links og vejledninger 6. Hvad kan FOCUS hjælpe med? gode råd 2

3 Hvad er persondata?

4 Hvad er persondata? Personoplysninger - F.eks. navn, telefonnummer, adresse, adresser m.v. - Men også: Oplysninger om kontaktpersoner hos B2B-kunder og samarbejdspartnere (f.eks. i et CRM system), navne på enkeltmandsvirksomheder, IP-adresser, anonyme adfærdsoplysninger osv. Primært ved digital behandling - Dog også systematisk behandling af analoge oplysninger (f.eks. et register) Stort set alle virksomheder behandler persondata

5 Hvad er persondata? Der er forskel på personoplysninger - Skærpede krav ved behandling af følsomme oplysninger - Race, etnisk oprindelse, politisk/religiøs/filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, helbredsoplysninger, seksualitet, genetiske/biometriske oplysninger - F.eks. indflydelse på hvornår oplysninger må behandles, sikkerhedskrav, nødvendige procedurer osv. - Andre særlige typer af oplysninger, f.eks. CPR-numre og oplysninger om strafbare forhold - Krav endnu ikke endeligt fastlagt - Ctr. fortrolige oplysninger - Persondatareglerne er ligeglade med erhvervshemmeligheder

6 Hvorfor skærpes reglerne? Adresselister

7 Reglerne skal indhente teknologien Grundloven af 1849: Boligen er ukrænkelig. Huusundersøgelse, Beslaglæggelse og Undersøgelse af Breve og andre Papirer maa, hvor ingen Lov hjemler en særegen Undtagelse, alene ske efter en Retskjendelse. Beskyttelse af persondata er i dag en MENNESKERET!

8 Gratis tjenester og bekvemmelighed betales med øget behandling af persondata

9 Virksomheder og myndigheder indsamler stadig flere persondata Flere GB for færre penge Begrænset økonomisk incitament for at begrænse indsamlingen og opbevaringsperioden

10 Præsentation af reglerne - Hvad gælder NU?

11 De gældende regler Persondataloven (2000) Implementering af EU-Persondatadirektiv fra 1995 à Hvert land har forskellige regler En stor del af reglerne i den kommende forordning gælder allerede i dag Måske den mest overtrådte lov i Danmark efter færdselsloven

12 De gældende regler i korte træk Krav Enhver behandling (dvs. alt fra indtastning til sletning) kræver hjemmel Enhver behandling skal opfylde nogle grundlæggende krav Den registrerede har en række rettigheder Krav til aftalegrundlaget mellem den dataansvarlige og databehandleren Krav til sikkerhedsforholdene Særlige krav ved overførsel af data til lande uden for EU Eksempel I form af et samtykke eller et lovgrundlag At der ikke indsamles flere oplysninger end nødvendigt og ikke i længere tid end nødvendigt Krav på at blive oplyst om enhver behandling og få indsigt i oplysninger om sig selv Typisk den virksomhed, som indsamler oplysninger og en IT-leverandør Gælder både organisatorisk og teknisk Eksempelvis såfremt man har outsourcet sin ITdrift til Indien, har en afdeling i Rusland, anvender en hosting-leverandør fra USA osv.

13 Præsentation af reglerne - Hvad er NYT?

14 Skærpede krav fra maj 2018 Den nye persondataforordning

15 Baggrund og historik Persondataloven (2000) Før internettets udbredelse = forældet Første udkast til forordning fra Kommissionen (2012) Overordnede ønsker er bl.a. Ensartede regler i EU Kontrollen tilbage til individet (modvægt til persondata som en vare) Hårdere sanktioner Omfattende forhandlinger Endelig vedtagelse af forordning (april 2016) Ikrafttræden: 25. maj 2018 Frem til ikrafttræden: Suppl. retningslinjer, nationale særregler m.v.

16 Vigtige ændringer Ændring Skærpet bødeniveau og flere ressourcer til nationale tilsyn Skærpede krav til overblik over virksomhedens behandling af personoplysninger Skærpede krav til dokumentation Skærpede krav til virksomhedens organisatoriske og tekniske foranstaltninger Konsekvens Bøder op til EUR /4 % af global omsætning Stiller krav til øget ansvarlighed Gælder persondatapolitik, organisatorisk forankring, procedure ved databrud, risikovurderinger ved nye tiltag osv. IT-systemer skal indrettet efter principperne om Privacy by Design og Privacy by Default ).

17 Vigtige ændringer (fortsat) Ændring Visse virksomheder har pligt til at udpege en intern eller ekstern Data Protection Officer (DPO) Pligt til at anmelde brud på datasikkerheden Databehandlere får et mere selvstændigt ansvar Konsekvens Nogle virksomheder har pligt til at udpege en persondataretsekspert med ansvar for virksomhedens behandling andre bør udpege en Anmeldelsen skal som udgangspunkt ske inden 72 timer Det gælder mange IT-leverandører Ændrede reglerne om grænseoverskridende behandlinger Herunder ift. reglernes anvendelsesområde, one-stop-shop for behandlingen af klagesager m.v.

18 Præsentation af reglerne - Hvad bliver kravene FREMADRETTET?

19 De fremadrettede krav Oversigt Ingen behandling af persondata uden hjemmel Grundlæggende principper for behandlingen De registreredes rettigheder De forpligtede efter reglerne: Dataansvarlige og databehandlere Krav til sikkerhedsforhold

20 Behandling af personoplysninger er ulovligt! Kilde: Forbes.com med mindre der er lovligt grundlag til behandlingen i persondataforordningens, f.eks. i form af samtykke, aftale, andre lovregler, interesseafvejning m.v.

21 Principper for behandling af personoplysninger Princip Eksempler på praktisk compliance 1. Lovlighed, rimelighed og gennemsigtighed Indhentelse af samtykke, overholdelse af oplysningspligt mv. 2. Formålsbegrænsning Sikre at oplysninger ikke genbruges til andre formål end det lovlige (f.eks. markedsføring) 3. Dataminimering Fra nice to know til need to know 4. Rigtighed Udarbejde procedure for håndtering af indsigelser fra registrerede 5. Opbevaringsbegrænsning Fastlægge procedure for sletning 6. Integritet og fortrolighed Få styr på IT-sikkerheden 7. Ansvarlighed Dokumentere overholdelsen af de 6 første principper

22 De registreredes rettigheder Eget initiativ Kræver anmodning Oplysningspligt (ret til information) Indsigtsret og korrektionsret Indsigelsesret Ret til sletning og databegrænsning Ret til dataportabilitet

23 Hvem er ansvarlig? Hvem? Ansvar? Dataansvarlig Virksomheden/myndigheden som afgør, hvilke oplysninger der indsamles - og til hvilke formål Primært ansvarssubjekt Databehandler Behandling som foretages på vegne af en dataansvarlig, f.eks. hostingleverandører, cloud-leverandører, marketing-bureauer m.v. Nu: Alene afledt ansvar Maj 2018: Selvstændigt ansvar Forpligtelser? (eksempler) Generelle krav til behandlingen Ansvar for at enhver behandling har hjemmel i reglerne Overholdelse af den registreredes rettigheder Privacy by Design og Default Passende tekniske og organisatoriske foranstaltninger Krav om databehandleraftale Alene handle efter instruks fra dataansvarlig Krav om databehandleraftale

24 Krav om databehandleraftale Skal altid foreligge når en databehandler behandler data på vegne af en dataansvarlig Krav til indhold (ikke udtømmende) Specifikation af hvilke data der behandles Dokumenteret instruks Medarbejderautorisationer Teknisk sikkerhed Underdatabehandlere Bistand til indberetning ved databrud, Data Privacy Impact Assesment m.v.

25 Behandlingssikkerhed (artikel 32) 1. Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder

26 Behandlingssikkerhed (fortsat) Teknisk sikkerhed Organisatorisk sikkerhed Vurdering af sikkerhed: - Behandling ens omfang og karakter - Risiko - Omkostninger - Tilgængelig teknologi Implementering af relevante tiltag, fx : - Pseudonymisering & kryptering - SikkerMail - Brugerrettigheder - Fysisk adgang - Back-up - Politikker & processer

27 Udpegning af databeskyttelsesrådgiver (DPO) Krav om udpegning af Data Protection Officer når: Offentlig myndighed Virksomhed hvis kernaktivitet er overvågning af registrerede (f.eks. tracking af online adfærd) Virksomhed hvis kernaktivitet indebærer behandling af følsomme oplysninger i væsentligt omfang Persondata kommer uundgåeligt til at spille en central rolle. Udpegelse af en intern persondataansvarlig er derfor oftest en god ide!

28 Int. virksomheder og databehandlere uden for EU Gælder også samarbejdspartnere/forhandlere m.v. med adgang til systemer Sikre tredjelande, sektorer og int. organisationer, jf. art. 45 Fornødne garantier, jf. art. 46 og 47 De konkrete grundlag/ singulære overførsler, jf. art. 49 Herunder Privacy Shield for USA (kræver certificering af USvirksomhed de fleste større IT-virksomheder er omfattet) Retligt bindende instrument Bindende virksomhedsregler (tilsyn skal godkende reglerne) Standardbestemmelser Ad hoc-aftaler/ administrative ordninger (tilsyn skal godkende) Reglerne er komplekse! Udtrykkeligt samtykke Opfyldelse af en kontrakt med den registrerede/i den registreredes interesse Vigtige samfundsinteresser Retskrav Vitale interesser Informationsregister Interesseafvejning (tilsyn skal orient.)

29 Gennemførelse af et compliance-projekt

30 6 faser til at blive compliant 1 Indledende overblik og planlægning: Hvor omfattende bliver opgaven for netop din virksomhed, og hvilke interne og eksterne ressourcer kræves der? 2 Kortlægning af persondatabehandling: Hvilke data behandles i virksomheden og hvordan? Gap-analyse: Hvor overholder virksomheden ikke reglerne på nuværende tidspunkt? Fastlæg indsatsområder: Eksempler på indsatsområder er udarbejdelse af nødvendig dokumentation, uddannelse af medarbejdere, ændringer i adgangsforhold til IT-systemer m.v. Implementering: Udarbejdelse af en handlingsplan - beskrivelse af indsatsområder, angivelse af hvem der er ansvarlig for, at opgaven udføres samt en tidsplan for, hvornår opgaven skal være udført. Løbende kontrol: Reglerne kræver løbende dokumentation, udarbejdelse af en konsekvensanalyse ved højrisikobehandlinger, anmeldelsespligt ved databrud, revision af politikker og retningslinjer samt håndtering af klager.

31 Fase 1: Indledende overblik og planlægning Hvor omfattende bliver opgaven for netop din virksomhed, og hvilke interne og eksterne ressourcer kræves der? HURTIG OMSTILLING Har hidtil haft stor fokus på håndtering af persondata efter de gældende regler Lille virksomhed B2B marked Ingen eller ét simpelt IT-system Behandler kun alm. personoplysninger Opererer kun på det danske marked Al databehandling sker internt TIDSKRÆVENDE OMSTILLING Håndtering af persondata efter gældende regler har hidtil haft begrænset bevågenhed Stor virksomhed B2C marked Flere IT-systemer, som er integreret Behandler følsomme oplysninger (race, religion, helbredsoplysninger mv) Grænseoverskridende salg, drift mv. Eksterne aktører har helt eller delvist adgang til virksomhedens data (IT-leverandører, marketingvirksomheder, myndigheder m.fl.)

32 Fase 2: Kortlægning af persondatabehandling - hvilke data behandles i virksomheden og hvordan? Overblik og kontrol Man kan ikke overholde reglerne, hvis man ikke har styr på/overblik over sin databehandling Kortlægning kan gøres på mange forskellige måder og niveauer: System-niveau: F.eks. analyse af dataflow med udgangspunkt i IT-systemer Proces-niveau: Behandling af oplysninger fra indsamling til sletning (og alt derimellem!) i relation til f.eks. rekruttering, ansatte, markedsføring, salg, kundeservice osv.

33 Fase 3: Analysér potentielle risici - hvor overholder virksomheden ikke reglerne på nuværende tidspunkt? Starter man fra 0 eller er man halvvejs i mål allerede? Compliance-opgaven er mindre, hvis man har anvendt de nødvendige ressourcer på at overholde de gældende regler Eksempler på faldgruber: Modtager den registrerede de oplysninger reglerne kræver? Er sikkerhedsniveauet tilstrækkeligt? Overholder aftaler med IT-leverandører kravene til databehandleraftaler? Bruges oplysninger til andre formål, end de oprindeligt er indsamlet? Slettes oplysninger, når behandling ikke længere er nødvendig for at varetage det oprindelige formål? Personoplysninger og markedsføring indhentes der samtykke, og er det tilstrækkeligt og dokumenteret?

34 Fase 4: Fastlæg indsatsområder Udarbejdelse af handlingsplan Ledelsesmæssig prioritering Fastlæg og prioritér de nødvendige indsatser i rette tid og med rette prioritet Risikoafvejning investeringer skal stå mål reel risiko Rollefordeling internt og eksternt (alles ansvar = ingens ansvar)

35 Fase 5: Implementering - hvilke konkrete skridt er nødvendige for at leve op til reglerne? Eksempler: Udarbejdelse af nødvendig dokumentation (!) Interne retningslinjer for håndtering af indsigelser, periode for opbevaring af oplysninger m.v. Uddannelse af medarbejdere IT-sikkerhed, nødvendige IT-relaterede investeringer/ændringer m.v.

36 Fase 6: Løbende kontrol - overholdelse er ikke et éngang-projekt men en løbende proces! Eksempler: Løbende dokumentation Udarbejdelse af en konsekvensanalyse ved højrisiko-behandlinger Sletning af oplysninger ( retten til at blive glemt ) Anmeldelsespligt ved databrud (72 timer) Revision af politikker og retningslinjer Håndtering af klager m.v.

37 Vil du vide mere? Relevante links: Databeskyttelsesreform: dbreform.dk Datatilsynet: datatilsynet.dk/erhverv/om-erhverv/ PrivacyKompasset: Vejledninger m.v.: Datatilsynets 12 spørgsmål Dansk Industri, Dansk Erhverv m.v. Focus Advokaters pjece om persondatabehandling Særligt for folk, som arbejder med persondata: Persondataretligt Netværk Syddanmark Heldagskursus 17. og 22. maj 2017

38 Hvad kan FOCUS hjælpe med? Rådgivning tilpasset din virksomhed Juridisk bistand til alle faser Rådgivning, facilitering, undervisning mv Inddragelse af anden ekspertise (!) Eksempler på bistand/pakker Indledende workshop Juridisk GAP-analyse Uddannelse af medarbejdere Bistand til udarbejdelse af dokumentation Fuld compliance-pakke inkl. udarbejdelse af compliance-rapport

39 Hvad kan FOCUS hjælpe med? IT-sikkerhed Revision / certificering Ekstern DPO Focus Advokater Software til dokumentation, opfølgning m.v. Forskere

40 Heldagskursus 17. og 22. maj 2017 Kursus for dem som skal arbejde med persondata i praksis Skræddersyet til hhv. virksomheder og offentlige myndigheder Bl.a. oplæg fra: Intern DPO Ekstern DPO Jurist fra Digitaliseringsstyrelsen Lektor med speciale i persondata hos offentlige myndigheder Eksperter i IT- og informationssikkerhed Deltager i arbejdet med den kommende betænkning Etc.

41 Opsummering - 10 gode råd 1. Sæt jer ind i reglerne det er ikke en døgnflue 2. Virksomheder behandler persondata flere steder end de tror - Få overblik over hvilke personoplysninger I behandler, hvordan, hvorfor, hvor længe osv. 3. Udpeg en intern persondataansvarlig også selvom I ikke er omfattet af kravet om en DPO 4. Gennemse jeres aftaler med IT-leverandører og andre databehandlere lever de op til de nye krav? 5. Persondata handler ikke kun om jura men også om organisatoriske processer og IT 6. Implementér relevante procedurer og husk at følge og vedligeholde dem! 7. Få styr på sikkerheden eventuelt med ekstern bistand 8. Dokumentér jeres behandling og procedurer Skriv hvad I gør, og gør hvad I skriver! 9. De nye regler skal tages alvorligt men investerede ressourcer skal stå mål med virksomhedens størrelse, karakter af behandling og ikke mindst risici 10. Kom i gang i god tid alle kan ikke vente til sidste øjeblik

42 Spørgsmål?

43 Kontakt Forretningsområder: IT-ret Kontraktret Immaterialret Retssagsbehandling Jesper Løffler Nielsen Advokat, Ph.D. Kontakt: Tlf.: Mobil: Hvis du vil modtage nyheder om PERSONDATA, så skriv dig på listen! FOCUS ADVOKATER P/S - focus-advokater.dk ODENSE: Englandsgade 25, 5100 Odense C KOLDING: Toldbodgade 10, 4., 6000 Kolding