Persondataforordningens betydning for ejendomsbranchen

Transkript

1 Persondataforordningens betydning for ejendomsbranchen 21. november Corporate Compliance & Investigations Vi er eksperter indenfor Vi hjælper din virksomhed med at få et overblik og identificere væsentlige højrisikoområder samt med at prioritere indsatsen fremadrettet. Antikorruption & Hvidvask Persondataret Eksport kontrol Vi sikrer en one-stop-shop -tilgang til compliance, interne undersøgelser og strafferetlige sager og tilbyder en bred vifte af compliance-værktøjer, herunder risikoanalyser, udarbejdelse og implementering af compliance-programmer samt uddannelse af medarbejdere og ledere. Interne & Eksterne undersøgelser Undersøgelser ved sikkerhedsbrud Vores team består af højt kvalificerede og erfarne jurister inden for compliance, undersøgelser og straffesager. Teamet arbejder tæt sammen med specialister fra alle relevante fagområder. Leverandørkontrol Politianmeldelser & retssager DPO-service Vores rådgivere er blandt de mest anerkendte specialister i Danmark, og de har stor erfaring og viden om aktuelle udfordringer og muligheder inden for området, og hvordan man som virksomheder håndterer dem. 1

2 3 Agenda Hvad er personoplysninger? Hvorfor er vi her i dag? (den nye persondataforordning) Udlejers og ejendomsadministrators ansvar Hvornår man må behandle oplysninger om lejer Udlejer og ejendomsadministrators pligter Databehandlingsaftaler Opsummering Hvad er personoplysninger? Anonyme oplysninger Pseudonyme oplysninger Almindelige oplysninger Race Seksuelle forhold Helbred Følsomme oplysninger Etnicitet Lejekontrakt Køn Foto Politisk eller filosofisk overbevisning Religion Navn Stilling Interesser Adresse? Gæld Løn Andre strafbare forhold CPR-nummer Genetisk og biometrisk data Straf efter straffeloven Fagforening 2

3 5 Hvorfor er vi her i dag? ændrede spilleregler Persondataforordningen kridter banen op på ny Krav om compliance den 25. maj 2018 Både nye og uændrede regler Høje bøder Spillet skal optimeres Compliance skaber værdi Væsentligste ændringer med driftsmæssig betydning: Emne Kort fortalt indebærer det: Grad af ændring 1 Sanktioner En markant stigning i bødeniveauet på op til EUR eller 4 % af virksomheden årlige globale omsætning. Mulighed for erstatningskrav og afdækning af omkostninger til bistand ved sikkerhedsbrud (evt. ved forsikringer). 2 Ansvarlighed / dokumentation Virksomheder skal kunne dokumentere, at de overholder reglerne i forordningen. Fx hvilke persondata de besidder, hvordan de behandler dem, og hvem de er delt med. 3 Data Protection Officer (DPO) Visse virksomheder skal udpege en databeskyttelsesrådgiver (DPO) til at monitorere, at forordningens krav overholdes. Særlige krav til DPO ensekspertisei databeskyttelsesret 4 Databehandlere og brug heraf Databehandlere bliver underlagt strengere krav, end de i dag er. Fremover må dataansvarlige kun bruge databehandlere, der lever op til forordningen og kan dokumentere det. 5 Underretning ved sikkerhedsbrud Virksomheder skal sikre, at de har de rigtige procedurer på plads i forhold til at opdage, oplyse om samt undersøge et sikkerhedsbrud. Inden for 72-timer skal Datatilsynet underrettes. 6 Registreredes rettigheder De registreredefår udvidede rettigheder til at få indblik i, hvordan oplysninger om dem behandles. Retten til at blive glemt giver ret til sletning i visse tilfælde. Dataportabilitet giver ret til at få oplysninger udleveret i et standard format. 3

4 7 Væsentligste ændringer med driftsmæssig betydning: Emne Kort fortalt indebærer det: Ændring 7 Samtykke og behandlingsregler Virksomheden skal gennemgå, hvilket behandlingsgrundlag data indsamles og behandles på og vurdere, om der er behov for ændringer. Samtykkekravet bliver i visse tilfælde skærpet. 8 9 Databeskyttelse gennem design Konsekvensanalyse Virksomheder har forpligtelse til at implementere tekniske og organisatoriske foranstaltninger for at demonstrere, at der tages højde for databeskyttelse i behandlingerne af oplysningerne. Databeskyttelseskal være indbygget fra start i nye systemer og processer. Konsekvensanalyse (DPIA) skal gennemføres, hvis nye teknologier benyttes, og hvis behandlingen pga. formål og omfang frembyder stor risiko for de registreredes rettigheder. Hvis risikoen er høj, skal Datatilsynet forhåndshøres. 10 Grænseoverskriden de behandlinger Kravene til overførsler ud af EU til usikres tredjelande ændres ikke væsentligt, men da sanktionerne for overtrædelse af GDPR er markant højere, kræver dette område fokus. 11 Lokale regler og delegerede retsakter Forordningen er ikke en totalharmonisering af persondataregler i EU. Medlemsstaterne herunder Danmark vil fortsat have en masse detailregulering i forskellige sektorer. Den endelig danske lovtilpasning er ikke meldt ud. 8 Hvilke roller og ansvar har de forskellige aktører? (1) Dataansvarlig Bestemmer formål Kan kræve oplysningerne slettet Har ansvaret Eksempler: Udlejer og arbejdsgiver 4

5 9 Hvilke roller og ansvar har de forskellige aktører? (2) Databehandler På vegne af den dataansvarlige Handler efter instruks Samme formål? Kan blive selvstændigt sanktioneret Eksempler: Ejendomsadministratorer og servicevirksomheder 10 Hvilke roller og ansvar har de forskellige aktører? (3) Ikke databehandler men selvstændig dataansvarlig Modtageren er selvstændig dataansvarlig Dataansvarlige (udlejer) skal sikre Sikre hjemmel videregivelse Sikre hjemmel til modtager må behandle Eksempler: Revisorer, banker, og offentlige myndigheder 5

6 11 Eksempel på grænsen mellem databehandler og selvstændig dataansvarlig Ejendomsadministrationsvirksomhed med in-house advokatfirma med selvstændigt CVR-nr. 12 Hvilke aftaler skal der indgås, hvis en udlejer bruger databehandler? Databehandleraftale Indhold: Kontaktoplysninger Varighed Formål Typer af data Kategorier Pligter Dataansvarlig (udlejer) Personoplysninger Databehandler (ejendomsadministr ator) Personoplysninger Underdatabehandler (fx servicevirksomhed) 6

7 13 Selvstændige krav til ejendomsadministratorerne (databehandlere) Krav 1 Krav 2 Krav 3 Krav 4 Udlejer må kun bruge ejendomsadministratorer hvis tilstrækkelige garantier. Ejendomsadministrators ansvar ift. underdatabehandleraftaler (samtykke fra udlejer og indgå underdatabehandlingsaftal er) Følge udlejers instruks Sikre fortrolighed Efterkomme sikkerhedsforanstaltnin ger Notifikation ved brud til myndigheder og lejer Fremvise dokumentation over for udlejer Medarbejdere er underlagt fortrolighed Compliance med forordningen 14 Skal være hjemmel for dataansvarlig til at behandle oplysninger om lejer Almindelige oplysninger Følsomme oplysninger Samtykke Legitim interesse Udtrykkelige samtykke Nødvendig for retskrav Nødvendigt for at opfylde kontrakt Retlig forpligtelse Overholde udlejers lovpligtige forpligtelser eller lejers rettigheder 7

8 15 Særligt om nødvendigt at opfylde kontrakt Behandle alle almindelige oplysninger, der er nødvendigt for at opfylde lejekontrakten. Hvis Ikke nødvendigt for opfylde lejekontrakten anden hjemmel. 16 Særligt om interesseafvejningen Udlejers eller tredjemands interesser Lejers interesser 8

9 17 Særligt om samtykket Lejers samtykke skal være: Klart, informeret, specifikt og frivilligt Kan tilbagetrækkes (skal oplyses) Hvis tilbagetrækkes ny hjemmel Særskilt (bilag til lejekontrakt) Er samtykket nødvendigt for at opfylde kontrakt? Udtrykkeligt for følsomme oplysninger 18 Særlige problemstillinger Ventelister Udlevering af sammenligningsmål til anden udlejer Oplysninger til det offentlige Brug blanket Oplys om behandlingen af data Slet efter fx 2 år eller få nyt samtykke Kan indhente samtykke, men problemer Ikke hjemmel i lejekontrakt Nok hjemmel interesseafvejning Ofte hjemmel da retlig forpligtelse Husk oplysningspligt Svært anonymisere 9

10 19 Hvor længe må udlejer opbevare personoplysninger om lejer? Ikke nødvendigt eller sagligt: Slet! Ingen konkrete slettefrister Udgangspunktet Alternativ anonymiser Udlejer/dataansvarlig vurderer som up om nødvendigt (f.eks. Dokumentation for huslejenævnet?) Overvej om følsomme eller almindelige Forældelsesloven 3 år Vejledende frister Bogføringsloven 5 år Mangler fast ejendom 10 år Privacy by Design Værktøjer Privacy by Default IT-virksomhed (databehandler) kan sætte systemerne op 20 Videregivelse af oplysninger om lejer ved muligt salg due diligence Salg af ejendommen (aktivoverdragelse) Salg af virksomheden (aktieoverdragelse) Videregivelse til mulige køberes rådgivere Persondataforordningen + Sælger hele ejendommen Kan oplysningerne anonymiseres? Persondataforordningen - Sker ikke ejerskifte af dataansvarlig Ikke en overdragelse i persondataretlig forstand Persondataforordningen + Videregivelse Skal være hjemmel (hensynsafvejning eller samtykke almindelige oplysninger) Kan oplysningerne anonymiseres? 10

11 21 Skal udlejer kunne dokumentere, at personoplysninger behandles lovligt? Udlejer (dataansvarlig) skal dokumentere compliance Ejendomsadministrator (databehandler) underlagt lignende dokumentationskrav Dokumentationskrav Fortegnelse, procedurer, politikker og manualer Klart tydeligt Udleverede oplysninger til lejer om behandling af personoplysninger skal ske i en letforståelig form og i et klart og tydeligt sprog. Retningslinjer Pligt til at fastsætte gennemsigtige og lettilgængelige regler for behandling af personoplysninger, og hvordan disse udøves. 22 Hvordan undgår man, at en lejer kan bruge en persondataklage som løftestang til at opnå andre fordele? Eksempel: Lejer opsiger lejeforholdet, og udlejer fratrækker vedligeholdelsesomkostninger i depositum. Lejer mener ikke, at udlejer har overholdt persondataforordningen og truer med at klage til Datatilsynet, men er villig til at frafalde klagen, hvis udlejer tilbagebetaler depositum. Udlejer og administrator undgår ved at være compliant! 11

12 23 Hvilke andre pligter har udlejer? Oplysningspligt Indsigtsret Efterkomme lejers anmodning om at: Blive glemt Berigtige oplysninger Sikkerhed og notifikationspligt ved sikkerhedsbrud 24 Udlejers oplysningspligt A. Oplysningspligt over for lejer Formål, hjemmel og kontaktoplysninger Modtagere Lejers rettigheder B. Ingen oplysningspligt Ikke hvis skifter administrator Ikke hvis anonymiseret C. I praksis Skriv ind i lejekontrakten 12

13 25 Indsigtsret Lejer har indsigtsret Sende på overskuelig måde - elektronisk Vederlagsfrit Lejer anmoder om alt skal sende alt (dog ikke chikanøst) Kan bede lejer konkretisere I praksis: Lav mapper og systemer så centraliseret som muligt 26 Lejers andre rettigheder Berigtige Skal det oprindelige dokument ændres eller berigtigelsesnotat Blive glemt Lovkrav, retskrav om fortsat opbevaring? Blive glemt 13

14 27 Sikkerhed og notifikationspligt både for udlejer og administrator Husk databehandleraftaler Sletteprocedure Dokumenter til- og fravalg Notificere (anmelde) sikkerhedsbrud og oplyse lejer om brug Implementere nødvendige sikkerhedsforanstaltninger 28 Sanktioner Bøder Sanktionsmuligheder Bemærk Op til EUR eller 2 % af virksomhedens årlige globale omsætning (den højeste af de to) (mindre grove overtrædelser) Op til EUR eller 4 % af virksomhedens årlige globale omsætning (den højeste af de to) (grove overtrædelser) Omdømme Brud på persondataforordningen skade omdømme Erstatning Kan blive erstatningssansvarlig for tab 14

15 29 Kort opsummering og spørgsmål Vores projekttilgang Kort fortalt, så anbefaler vi organisationer at gribe projektet an i 5 faser Foranalyse: Planlægning: Analyse: Implementering: Drift og rapportering: Afklare og vurdere organisationens risikobillede. Styringsværktøj til prioritering af projekt og indsats. Mandat, målsætning, plan og ressourcer (både internt og eksternt) til projektet. Den centrale analyse- og dokumentationsfase. Metodisk afdækning af persondatabehandlinger. Prioritering og gennemførelse af alle de øvrige tiltag for at sikre compliance. Complianceprogrammet i drift. Sikre ledelse, monitorering og rapportering. Fase 1: Foranalyse 2: Planlægning 3: Analyse 4: Implementering 5: Drift og rapportering Resultat Gap-analyse og overblik over aktuelt complianceniveau Identifikation af højrisikoområder Projektplanlægning Etablering af projektorganisation Datamapping analyse, og kortlægning af databehandlere Privacy risk assessment Evt. it-sikkerhed Konsolidering i Pactius Privacy Risikomitigering Sikring af behandlingsgrundlag, aftaler, samtykker, Anmeldelser og tilladelser, evt. BCR. Dokumentation Etablering af politikker og procedurer DPO - organisation. Planlægning af træningsbehov, Fx e-learning og undervisning Uddannelse af medarbejdere, Interne awareness tiltag Kommunikation. Ledelse af complianceprogram Kontrol og opfølgning Løbende rapportering. Brug Pactius Privacy Produkt Projektplan og organisering Datagrundlag og risikoprofil Formelle krav Dokumentation Foranalyserapport Træningsprogrammer Ledelse og revision = Beslutning om den fortsatte proces samt estimat på den fremadrettede investering ved næste (del)fase 30 15

16 31 Kontakt Susanne Stougaard Senioradvokat København Corporate Compliance & Investigations T M E [email protected] Henrik Westermann Senioradvokat København Fast ejendom T M E [email protected] Nilas Monberg Advokatfuldmægtig København Fast ejendom T M E [email protected] 16