PERSONDATA DET NYE SORT



Relaterede dokumenter
KL s holdning til Europa-Kommissionens generelle forordning om databeskyttelse

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

PERSONDATALOVEN - UDFORDRINGER. Birthe Boisen, Juridisk Konsulent Tlf

Persondataretlig compliance i praksis. Uddannelsesdagen 28. maj 2015 v/ partner Thomas Munk Rasmussen og partner Mikkel Friis Rossa

INTERN HR PERSONDATAPOLITIK FOR LIONS MD106. Nærværende gælder for MD 106, dvs. alle ansatte og medlemmer i Lions MD 106.

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Introduktion til persondataforordning

Privatlivspolitik for DV Partner ApS.

Er du klar til den nye Persondataforordning?

Vejledning VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL. Februar 2015 (VERSION 1.4 AF FEBRUAR 2015)

Europaudvalget EUU Alm.del EU Note 27 Offentligt

Ekstern Persondatapolitik - Sankt Lukas Stiftelsen

PERSONDATAFORORDNINGEN ER DIN ORGANISATION KLAR TIL DEN NYE VIRKELIGHED?

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

Persondataforordningen - set med danske øjne

PERSONDATAFORORDNING PERSONALEADMINISTRATION. 4. og 9. april 2018 Kolding

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Aftale vedrørende fælles dataansvar

Almindelig viden om persondataforordningen

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Overblik over persondataforordningen

Har I styr på reglerne? Forsyningsselskabers behandling af persondata

FORSYNINGSTRÆF 2016 PERSONDATARET HVORFOR NU EGENTLIG DET?

Samarbejdserklæring imellem vikar og Vikar-online

PERSONDATAFORORDNINGEN. DRF s årsmøde, april 2017

PERSONDATAPOLITIK FOR BAPTISTERNES BØRNE- OG UNGDOMSFORBUND

GML-HR A/S CVR-nr.:

hos statslige myndigheder

GDPR og borgerne og arkiverne og arkivloven

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Personoplysninger om kunder og forretningsforbindelser

Retsudvalget REU Alm.del Bilag 364 Offentligt

Bilag A Databehandleraftale pr

PERSONDATAPOLITIK FOR Dansk forening for Williams Syndrom

Standardvilkår. Databehandleraftale

PERSONDATAPOLITIK FOR DANSK TOURETTE FORENING

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Persondatapolitik Vordingborg Gymnasium & HF

I arkivloven, jf. lovbekendtgørelse nr af 21. august 2007, som ændret ved lov nr af 10. december 2008, foretages følgende ændringer:

Erklæring om beskyttelse af persondata i henhold til persondataforordningen (GDPR)

Persondatapolitik til ansøgere og rekruttering

PERSONDATAPOLITIK FOR FANCONI ANÆMI DANMARK

Gå-hjem-møde Persondataforordning

Persondataforordningen

! Databehandleraftale

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Vi passer på dine persondata

6.1 Introduktion. Af Jeppe Høyer Jørgensen, LETT Advokatpartnerselskab Indhold. Denne artikel har følgende

Ny persondataforordning

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

Persondatapolitik: Hvidbjerg Banks politik for behandling af personlige oplysninger

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

Persondata politik for GHP Gildhøj Privathospital

Forsvarsministeriets Materiel- og Indkøbsstyrelse

DEN NYE PERSONDATAFORORDNING. er din virksomhed klar?

BILAG 14: DATABEHANDLERAFTALE

Privatlivspolitik. for Odense LM

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

Regler om persondata Koordinatormøde den 28. nov. 2017

Thea Præstmark WW W W W.SKA W UR.SKA EIP UR UR EIP TH UR. TH C. OM C

Persondatapolitik i Dansk Oplysnings Forbund

Lector ApS CVR-nr.:

Tjekliste til arbejde med persondata. Branchefælleskab for Intelligent Energi

DATABEHANDLERAFTALE. Conscia A/S. Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf

Målrettet arbejde med persondataforordningen for

Persondatapolitik. Behandling af oplysninger Leasing Fyn behandler ikke personfølsomme oplysninger.

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Behandling af personoplysninger

Dansk Selskab for GCP. Persondatareglerne

opfylde vores kontraktuelle forpligtelser over for dig, samt at

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2

Privatlivspolitik. Odense LMU

PERSONDATAPOLITIK (EKSTERN)

DEN NYE DATABESKYTTELSESFORORDNING

Persondatapolitik. Dataansvarlig Paarup Hansen ApS Enghaven Roskilde Danmark CVR-nr.:

Retsudvalget, Retsudvalget L 68 endeligt svar på spørgsmål 6, L 69 endeligt svar på spørgsmål 6 Offentligt

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

DATABEHANDLERAFTALE. er dags dato indgået databehandleraftale på følgende vilkår og betingelser:

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Persondatapolitik for Landsforeningen for Marfan Syndrom i Danmark

Hvem vi er - og hvordan du kan kontakte os Den dataansvarlige virksomheds identitet og kontaktoplysninger

Bilag B Databehandleraftale pr

Persondata, compliance og datasikkerhed. Ved Charlotte Bagger Tranberg

Information om behandling af persondata i Jyske Realkredit

Databehandleraftale

Seminar om databehandleraftalen IT-Branchen 28. februar 2018

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS

BILAG 5 DATABEHANDLERAFTALE

Persondataloven i en Smart City kontekst. Alexander Tureczek, Ph.d. candidate

Persondatapolitik for Ehlers-Danlos Foreningen i Danmark

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

INTERN HR PERSONDATAPOLITIK FOR DANSK FORENING FOR OSTEOGENESIS IMPERFECTA (DFOI) 1 Generelt... 2

Frans Skovholm. Associeret Partner Leoni Advokater. Advokat: (DAHL 2008/2015) (Leoni 2016) Erhvervsret. Formand i NUGF Viborg

DANSK ERHVERV ERHVERVSJURA RETNINGSLINJER FOR OVERHOLDELSE AF REGLER OM PERSONDATABESKYTTELSE

Transkript:

PERSONDATA DET NYE SORT Lisa Bo Larsen Tina Brøgger Sørensen Frank Bøggild Jan Ussing Andersen Daiga Grunte-Sonne Partner Partner Partner Partner Advokat

PERSONDATA DET NYE SORT Man behøver blot åbne avisen for at konstatere, at samfundsudviklingen har gjort persondata til et særdeles aktuelt emne. Også hos de fleste virksomheder. Forslaget til en ny persondataforordning forventes vedtaget ved årsskiftet, og det foreliggende udkast lægger op til intensiverede og ganske omfattende krav til intern træning, udarbejdelse af retningslinjer og politikker, risici og konsekvensanalyser mv., ligesom forslaget introducerer bøder på konkurrenceretsligt niveau. At persondata er et emne, som vækker interesse, blev i den grad synligt, da Kromann Reumert satte fokus på behandlingen af persondata og den nye EU-forordning ved to velbesøgte konferencer i begyndelsen af november. Med spørgsmålene Overholder din virksomhed persondataloven, og er I klædt på til at håndtere den kommende EU-forordning? slog Kromann Reumert dørene op til Persondatadagen 2015. På konferencen blev der sat fokus på persondataloven, den kommende EU-forordning og de skærpelser, der forventes indført med forordningen. Der var mulighed for at møde den nye direktør for Datatilsynet, Cristina Angela Gulisano, og høre hendes bud på fremtidens datatilsyn. Og så blev der stillet skarpt på udvalgte områder, hvor persondataretten typisk giver anledning til udfordringer i hverdagen, herunder personaleadministration og datasikkerhed, sikkerhedskrav og udfordringer ved cloud-løsninger og digital markedsføring. FREMTIDENS DATATILSYN Datatilsynets nye direktør, Cristina Angela Gulisano, præsenterede sit syn på fremtidens Datatilsyn og omtalte såvel Datatilsynets nuværende som kommende opgaver set i lyset af den nye forordning om databeskyttelse, som fortsat er under forhandling i EU. DIALOG MED VIRKSOMHEDER Et at de områder, Cristina Angela Gulisano virkelig håber, at Datatilsynet flytter sig på, er antallet af inspektioner. Sidste år foretog Datatilsynet 68 inspektioner, fordelt på offentlige myndigheder, private virksomheder, private forskere mv. og selv om antallet af inspektioner er steget år for år siden 2011, så må det meget gerne, ifølge den nye direktør, stige yderligere. Det primære formål med Datatilsynets inspektioner er at foretage kontrol og sikre en bedre overholdelse af loven. Inspektionerne gavner imidlertid også de inspicerede virksomheder, da det er en god anledning til at få igangsat en dialog med Datatilsynet om, hvordan persondataloven - og fremadrettet den nye EU-forordning - skal bruges og forstås. Det er i øvrigt heller ikke utænkeligt, at et besøg fra Datatilsynet kan være det lille ekstra skub, der skal til, for at nogle IT-afdelinger rundt omkring bedre kan få ledelsen i tale, når det handler om persondataretlig compliance. Cristina Angela Gulisano synes også, at der allerede nu kan spores en tendens til, at det at behandle personoplysninger sikkert ligefrem begynder at være et konkurrenceparameter for virksomheder - noget, der således med fordel kan bruges i virksomheders markedsføring over for forbrugerne. Lisa Bo Larsen November 2015 Partner Mobil: +45 24 86 00 16 Direkte: +45 38 77 45 68 lbl@kromannreumert.com Tina Brøgger Sørensen Partner Mobil: +45 61 20 35 33 Direkte: +45 38 77 44 08 tib@kromannreumert.com Frank Bøggild Partner Mobil: +45 24 86 00 11 Direkte: +45 38 77 45 95 fb@kromannreumert.com Jan Ussing Andersen Partner Mobil: +45 61 61 30 10 Direkte: +45 38 77 44 25 jus@kromannreumert.com Daiga Grunte-Sonne Advokat Mobil: +45 61 20 99 95 Direkte: +45 38 77 41 18 dso@kromannreumert.com www.kromannreumert.com/insights 1/9

INTERNATIONALT SAMARBEJDE For så vidt angår fremtidens datatilsyn så lægges der med forslaget til den nye EU-forordning om databeskyttelse op til et udvidet samarbejde blandt de europæiske tilsynsmyndigheder. En del af samarbejdet vil forme sig gennem den såkaldte one-stop-shop-mekanisme, som indebærer, at én tilsynsmyndighed ( lead authority ) i visse grænseoverskridende sager vil være enekompetent til at træffe afgørelse i konkrete sager. Det gensidige samarbejde vil endvidere bl.a. omfatte anmodning om oplysninger og tilsynsforanstaltninger, som f.eks. anmodning om gennemførelse af forudgående godkendelse, høring og inspektioner. Cristina Angela Gulisano forudser derfor, at meget fremtidigt arbejde for hende og kollegaerne i tilsynet vil ligge i Bruxelles, og at tilsynet derfor med al sandsynlighed nok vil få brug for en international afdeling. ET RÅD For at være bedst muligt forberedte på den kommende EU-forordning om databeskyttelse råder Cristina Angela Gulisano i øvrigt til, at de dataansvarlige får styr på de gældende regler og deres datastrømme, herunder: Hvilke oplysninger har vi? Hvem behandler dem? Hvor ligger de? Et af Kromann Reumerts vigtigste budskaber under konferencerne har netop været, at det er vigtigt at have fokus på overholdelse af gældende regler, da dette vil lette overgangen i forhold til de kommende regler. At Cristina Angela Gulisano har haft det samme udgangspunkt, vidner bestemt om, at forberedelsen til fremtiden skal starte i dag. PERSONDATARETTENS ABC Daiga Grunte-Sonne fortsatte det faglige program med fokus på grundlæggende persondataret, herunder begreberne persondata, dataansvarlig og databehandler, samt de vigtigste behandlingsregler. Hun forklarede, at det ofte bliver overset, at oplysninger, som kun indirekte kan identificere en fysisk person, også er persondata. For at persondataloven finder anvendelse, er det tilstrækkeligt, at oplysningerne blot kan føres tilbage til en person, uanset om koblingen skal findes gennem flere led. Det er også en almindelig misforståelse, at virksomheden kun skal være på vagt, når man har følsomme persondata i hænde, såsom information om religion, fagforeningstilhørsforhold, helbred, strafbare forhold mv. Men de grundlæggende krav om, at alene relevante og nødvendige persondata indsamles, og at der sker sletning af unødvendig information, gælder alle former for persondata. Daiga Grunte-Sonne omtalte også overførsel af persondata til tredjelande, som alene er mulig, hvis der bruges EU-standardmodelkontrakter eller Binding Corporate Rules, eller der er tale om overførsel til de såkaldte sikre tredjelande (såsom Israel, Argentina eller Schweiz). Undtagelserne, såsom samtykke eller kontraktgrundlag, kan også efter omstændighederne benyttes. www.kromannreumert.com/insights 2/9

Safe Harbour-ordningen, som var baseret på en aftale mellem EU og USA og er blevet brugt flittigt af mange amerikanske virksomheder, blev den 6. oktober 2015 kendt ugyldig af EU-Domstolen, der vurderede at ordningen ikke ydede tilstrækkelig beskyttelse af EU-borgernes persondata. Dommen har skabt en del bekymringer og ikke mindst en række praktiske udfordringer for virksomheder, som overfører persondata til USA. Pt. arbejdes der stadigvæk på at analysere konsekvenserne af dommen, og dette sker blandt andet i regi af den såkaldte Artikel 29-gruppe, hvor alle de europæiske datatilsyn deltager. Artikel 29-gruppen har opfordret USA og EU til dialog og givet mulighed for at komme med en holdbar løsning inden den 31. januar 2016. Lige nu forhandles der om Safe Harbour v. 2, men resultatet er endnu langt fra sikkert. DEN KOMMENDE EU-FORORDNING Alle tegn i sol, måne og stjerner tyder på, at den nye EU-forordning for persondata efter fire års barsel bliver vedtaget ved årsskiftet. Forordningen er p.t. genstand for afsluttende trilog-forhandlinger mellem Kommissionen, Parlamentet og Rådet, hvor seneste udmelding er, at der er opnået enighed om 70-80 % af indholdet. Under overskriften Den kommende EU-forordning gav partner Lisa Bo Larsen sit bud på forventet indhold af den kommende EU-forordning, og hvilke ændringer der må forventes i forhold til de gældende regler. DATABEHANDLERE BLIVER OMFATTET AF REGULERINGEN Den nugældende persondatalovgivning omfatter alene den dataansvarlige, mens såkaldte databehandlere ikke kan stilles til ansvar for manglende overholdelse af behandlingsreglerne. Som databehandler har man således hidtil kunne nøjes med at sikre sig, at man overholdt sine kontraktmæssige forpligtelser i indgåede databehandleraftaler mv. Med den nye forordning ser dette ud til at ændre sig markant, idet det forventes, at databehandlere også vil blive omfattet. De kan dermed se frem til at blive underlagt en række krav og forpligtelser, herunder de skærpede sanktionsmuligheder. Som databehandler bør man derfor sætte sig grundigt ind i de kommende regler og sikre, at man er compliant. Det gælder, uanset om databehandling er en kerneaktivitet eller alene udføres som led i en koncernintern administrativ opgavefordeling, hvor eksempelvis et koncernselskab behandler kunde- eller personaledata på vegne af hele koncernen, siger Lisa Bo Larsen. www.kromannreumert.com/insights 3/9

LOVLIGT, RETFÆRDIGT OG TRANSPARENT Det bærende fundament for forordningen er et ønske om øget beskyttelse af individets rettigheder under parolen Lovlig, Retfærdig og Transparent. Selvom der ikke ser ud til at blive introduceret skelsættende forandringer med hensyn til, hvad der anses for persondata, eller med hvilken hjemmel data kan indsamles og behandles, så er den røde tråd i forordningen, at der skrues væsentligt op for kravene til risikostyring, information og dokumentation. Blandt forordningens nye tiltag kan eksempelvis nævnes: Krav om kortfattede, gennemsigtige og lettilgængelige regler for behandlingen af data og udøvelse af den registreredes rettigheder Krav om standardiserede informationspolitikker til behandling af indsigtsbegæringer Pligt til at gennemføre mekanismer, der sikrer overholdelse af slettefrister og/eller periodisk evaluering af nødvendigheden af fortsat opbevaring Pligt til udarbejdelse af risikoanalyser samt - afhængig heraf - udarbejdelse af konsekvensanalyser. Det vil med andre ord ikke længere være nok at agere compliant. Hvis Datatilsynet banker på døren, skal man fremadrettet også kunne dokumentere, hvordan man har sikret sig ved implementering af diverse politikker, træning, analyser samt tekniske og organisatoriske mekanismer, siger Lisa Bo Larsen. Ønsket om øget beskyttelse af individets rettigheder afspejles også i forordningens fokus på kravene til et gyldigt samtykke, som skal være udtrykkeligt, frivilligt, specifikt, formålsbegrænset og informeret. Blandt andet introduceres et nyt gyldighedskrav om, at den registrerede samtidig med afgivelse af samtykket specifikt skal informeres om retten til at tilbagekalde dette. De nøjagtige overgangsregler på dette område ligger endnu ikke fast, men det er tydeligt, at der her er tale om en skærpelse, der vil berøre mange virksomheder. Man kan med fordel skærpe opmærksomheden på dette område allerede nu og dermed sikre sig, at de samtykker, der p.t. indhentes, også vil være langtidsholdbare under den nye forordning, siger Lisa Bo Larsen. ULVEN KOMMER NOK IKKE I forbindelse med den kommende EU-regulering har der været forlydender om, at det med forordningen ville blive obligatorisk at etablere en ny og uafhængig Data Protection Officer-funktion ( DPO ) i virksomhederne. Et krav, som mange små og mellemstore virksomheder ville få svært ved at se sig ud af organisatorisk. Kommissionens oprindelige forslag indeholdt et sådant krav, men med de seneste input fra Rådet ser det ud til, at DPO-bestemmelserne ændrer karakter fra skal til kan og dermed ikke bliver obligatoriske. Intet er dog sikkert endnu, og det er ingen hemmelighed, at Parlamentet har haft et stort ønske herom og muligvis ikke er villig til at opgive kravet om DPO. HAMMEREN FALDER Sanktionsbestemmelserne forhandles stadig, men det ligger fast, at der vil blive tale om meget væsentlige skærpelser. Hvor bødeniveauet for overtrædelser i Danmark p.t. ligger på mellem 3.000-10.000 kr. - med en enkelt historisk bøde på 25.000 kr. - forhandles der p.t. om et bødeniveau spændende fra 1 mio. euro eller 2 % af den globale koncernomsætning til 100 mio. euro eller 5 % af den globale koncernomsætning. www.kromannreumert.com/insights 4/9

Det meget lave bødeniveau, vi har haft i Danmark for overtrædelser af persondatalovgivningen, har nok medført, at mange virksomheder ikke har haft persondata-compliance ret højt på deres prioriteringsliste. Vi mærker dog tydeligt, at udsigten til bøder på konkurrenceretsligt niveau har givet området en helt ny bevågenhed, herunder plads på dagsordenen hos bestyrelserne, siger Lisa Bo Larsen. Et andet område, hvor skruen strammes, er konsekvenserne af sikkerhedsbrister /datalækage. Under den nugældende persondatalov har man ikke som dataansvarlig pligt til af egen drift at indberette sikkerhedsbrister til Datatilsynet, men skal alene håndtere risikoen for reputational damage. Med den kommende forordning går den ikke længere, da der fremover bliver både indberetnings- og dokumentationspligt over for tilsynsmyndighederne i tilfælde af datalækage, herunder med nogle ganske skrappe frister på 24-72 timer. Netop sikkerhedsbrister er blandt de allerstørste praktiske udfordringer hos såvel virksomheder som offentlige myndigheder. Vi ser et tiltagende antal eksempler på datalækage som følge af enten hacking eller menneskelige fejl, siger Lisa Bo Larsen og tilføjer: Det her er en udfordring, som i høj grad skyldes, at man ikke har haft tradition for at tænke på tværs af organisationen i persondataspørgsmål. Ud over afdækning af dataflow og -risici og forståelse af juraen er det helt afgørende, at man også får inddraget IT-afdelingen og etableret nogle intelligente sikkerhedsmekanismer. PERSONALEADMINISTRATION OG DATASIKKERHED I artikel 82 til forslaget til EU-forordning har medlemsstaterne fået mulighed for fastsættelse af mere specifikke bestemmelser for at sikre beskyttelsen af rettigheder og frihedsrettigheder i forbindelse med behandling af arbejdstageres personoplysninger i personaleforhold. Det er for tidligt på nuværende tidspunkt at udtale sig om, hvorvidt Danmark vil udnytte denne mulighed, og i givet fald i hvilken udstrækning. Ifølge Datatilsynet er der dog ingen forventning om, at reglerne bliver mindre restriktive, end de er i dag. Det er Datatilsynets råd, at virksomheder bruger de næste par år på at sikre, at de som minimum overholder de nugældende regler om personaleadministration. Der er næppe nogen virksomhed i kongeriget Danmark, der til fulde overholder reglerne om personaleadministration, siger partner Tina Brøgger Sørensen. På grund af forventningen om en betydelig forhøjelse af bødeniveauet bør det ifølge Tina Brøgger Sørensen give stof til eftertanke. FØLSOMME OPLYSNINGER KRÆVER SAMTYKKE FRA MEDARBEJDER Almindelige oplysninger om medarbejderne, herunder f.eks. navn, personnummer, adresse mv., kan i udgangspunktet behandles uden indhentelse af medarbejdernes samtykke, og behandlingen kræver ikke tilladelse fra Datatilsynet. Hvis en virksomhed derimod behandler følsomme oplysninger om f.eks. racemæssig eller etnisk baggrund, politisk og religiøs overbevisning, oplysninger om helbredsmæssige og seksuelle forhold samt andre helt private oplysninger om strafbare forhold mv., så er det hovedreglen, at medarbejderen skal give udtrykkeligt samtykke til behandlingen. Som en undtagelse dertil kan dog f.eks. nævnes, hvis det er nødvendigt, for at retskrav kan fastlægges, gøres gældende eller forsvares. Under alle omstændigheder kræver behandlingen forudgående tilladelse fra Datatilsynet. www.kromannreumert.com/insights 5/9

Da der næppe er nogen virksomheder, der ikke på et eller andet tidspunkt skal behandle følsomme oplysninger vedrørende medarbejdere, er det vores råd, at virksomheden indhenter tilladelse fra Datatilsynet til personaleadministration. Der gælder særlige regler om indhentelse af oplysninger om jobansøgere/medarbejdere, herunder f.eks. indhentelse af referencer fra tidligere arbejdsgivere, kreditoplysninger og straffeattester. Så hvis din virksomhed indhenter sådanne oplysninger, er det vores råd, at det afklares, om reglerne derom overholdes. OPBEVARING OG UDVEKSLING AF DATA Et ansættelsesretligt krav forældes efter 5 år, men konkret kan der være givet afkald på krav eller lignende, hvorefter der ikke længere er grundlag for at opbevare konkrete oplysninger. Hvis en retssag strækker sig ud over 5 år, kan det modsat give grundlag for at opbevare oplysningerne i længere tid. Derfor er det såvel under ansættelsen som i forbindelse med sager om opsigelse og bortvisning samt tvister/retssager vigtigt, at det løbende sikres, at det fortsat er relevant at gemme alle oplysninger. Hvis man i koncernforhold har behov for udveksling af data om medarbejdere til brug for f.eks. udarbejdelsen af lønstatistikker, beregning af head counts mv., skal man være opmærksom på, at videregivelse i koncernforhold betragtes som videregivelse til tredjemand, og at de sædvanlige behandlingsregler derfor skal overholdes. Hvis koncernselskabet er placeret i et såkaldt tredjeland, gælder der herudover særlige krav om videregivelse til sådant land. Vi anbefaler også, at virksomheder er særligt opmærksomme på Datatilsynets minimumskrav om datasikkerhed i forbindelse med personaleadministration. Fra januar 2015 indeholder Datatilsynets tilladelser til personaleadministration i den private sektor som standardvilkår krav om iagttagelse af disse. Minimumskravene omfatter blandt andet krav om beskrivelse af, hvordan beskyttelsen foregår i praksis, at adgangen til personaleoplysninger begrænses til så få personer som muligt, krav til opbevaring, brugen af adgangskoder, anbefaling om kryptering, når der videresendes følsomme personaleoplysninger og personnumre mv. CLOUD-LØSNINGER OG DATASIKKERHED Cloud-baserede IT-løsninger bliver mere og mere udbredte på grund af en række åbenlyse fordele sammenlignet med de klassiske IT-leverancemodeller. Cloudløsninger giver blandt andet færre opstartsomkostninger, er typisk lettere at implementere, og virksomheden skal ikke selv bekymre sig om sin IT-drift. Imidlertid giver cloud-løsninger en række regulatoriske udfordringer, specielt af persondataretlig karakter. Samtidig er der en række øvrige gode råd, man bør være opmærksom på, inden man indgår en aftale om en cloud-løsning. MANGLENDE KONTROL GIVER UDFORDRINGER Opbevarer din virksomhed persondata i en cloud-løsning, står virksomheden som dataansvarlig med en række udfordringer i forbindelse med opfyldelse af persondatalovens regler. Specielt kravene til sikker og korrekt behandling af persondata er svære at opfylde, idet virksomheden som udgangspunkt slipper kontrol med oplysningerne. www.kromannreumert.com/insights 6/9

Først og fremmest skal virksomheden foretage en risikovurdering af løsningen, hvor det bl.a. skal 1) vurderes, om virksomheden reelt har kontrol over data, og 2) sikres, at der er gennemsigtighed omkring selve databehandlingen. Det forudsætter, at man som virksomhed har styr på dataflows, herunder underleverandørers adgang til data og cloud-leverandørens processer. Virksomheden skal blandt andet forstå og sikre krav til fysisk og teknologisk adgangskontrol, korrekt sletning af data samt logning i visse tilfælde. Den nødvendige regulering til sikring af en korrekt håndtering af persondata skal desuden inkluderes i aftalen med underleverandøren. Vi anbefaler også, at brugere af cloud-løsninger stiller krav om, at leverandøren overholder relevante standarder, f.eks. ISO 27001 om generel IT-sikkerhed eller ISO 27017 om sikkerhed for cloud-løsninger. OVERFØRSLER TIL TREDJELANDE Mange cloud-løsninger indebærer, at data overføres til lande uden for EØS. Som udgangspunkt er en sådan overførsel ulovlig. Overførslen kan dog ske lovligt, hvis den f.eks. sker på baggrund af et samtykke fra den registrerede person, på baggrund af EU-Kommissionens standardkontrakter eller Binding Corporate Rules. Hvis man overfører data om f.eks. seksuel observans, fagforeningsforhold eller sundhedsmæssige forhold på baggrund af Kommissionens standardkontrakter, skal man dog være opmærksom på, at det kan udløse en oplysningspligt over for de registrerede. Som nævnt var det tidligere muligt at benytte den såkaldte Safe Harbour-ordning i forbindelse med overførsler af persondata til USA. Siden den 6. oktober 2016 har dette dog ikke været muligt, da ordningen er kendt ugyldig af EU-Domstolen. FORHANDLING AF CLOUD-KONTRAKTEN Forhandlingsrummet i forhold til at kræve forbedringer af leverandørens standardvilkår er for cloud-kontrakter typisk langt ringere end på andre dele af IT-markedet. Som kunde bør man derfor i stedet benytte kontrakten som et konkurrenceparameter og som en sikring af de regulatoriske forhold, der gælder for løsningen, herunder i forhold til persondataloven. Man skal som kunde dog sikre sig, at der sker en korrekt regulering af en række forhold, herunder Betalingsmekanismerne SLA er og bodsberegningen heraf Exit og ophørssituationer. Hvad skal man så gøre? Samlet set bør en virksomhed, der overvejer at indgå en aftale om en cloud-løsning, først og fremmest 1) grundigt forstå, hvordan den pågældende løsning fungerer, 2) på den baggrund foretage en reel risikovurdering af løsningen, 3) sikre sig, at løsningen overholder persondatalovens krav, og indføre de nødvendige aftalemæssige garantier herfor i aftalen med leverandøren samt 4) nøje overveje - og hvis muligt forhandle - væsentlige aftaleparametre. Som i mange andre kontraktforhold vil der i cloud-aftaler i sidste ende være en residualrisiko, som man ikke kan pålægge leverandøren. Kunden bør derfor sikre sig enten gennem operationel sikring af de væsentligste forhold (f.eks. backup hos en alternativ leverandør) og/eller økonomisk sikring mod de største tab (f.eks. en forsikring). www.kromannreumert.com/insights 7/9

DIGITAL MARKEDSFØRING - URIMELIGE KONKURRENCEFORDELE? Der er fuld fart på den teknologiske udvikling, men lovgivningen er ikke fulgt med. Det har skabt en række uklarheder og et juridisk tomrum og kan give virksomheder, hvor compliance ikke er i højsædet, konkurrencefordele. Ord som behavioral marketing, targeting banners og online tracking er velkendte i reklamebranchen - men ikke i lovgivningen eller hos myndighederne. Ved søgninger på internettet har de fleste prøvet at blive forfulgt af målrettede bannerreklamer. Har man én gang søgt på et hotel i en bestemt by, en bil eller trøje af et bestemt mærke, ja, så er der høj risiko for, at man i de næste mange uger eller måneder bliver eksponeret for bannerreklamer, uanset hvilke hjemmesider man bevæger sig på. Dette gælder uanset brugerens browserindstillinger og accept af cookies. Antallet af elektroniske beskeder, der ikke er baseret på samtykker, og som sendes fra virksomheder, som brugeren ikke umiddelbart kender, men som alligevel er i stand til at målrette deres budskaber på ofte bemærkelsesværdig præcis måde, er stærkt stigende. Mange virksomheder er bekymrede ved at gøre brug af digitale markedsføringstiltag, mens andre virksomheder, for hvem compliance måske ikke er et nøgleord, tager mere afslappet på det retlige tomrum. De opnår derved en urimelig konkurrencefordel ved at gøre brug af de teknologiske muligheder, som datamarkedsføring giver, uanset om tiltagene lever op til reglerne i persondataloven, cookie-bekendtgørelsen eller markedsføringsloven. VIGTIGE SPØRGSMÅL, DU BØR STILLE DIG SELV: Gør din virksomhed brug af (person-)data i markedsføringen? Ved du, hvilke data der er tale om, og om de er omfattet af persondatareglerne? Hvordan bruges oplysningerne? Deler du dem (ufrivilligt) med andre, f.eks. via samarbejdspartnere? Får jeres kunder de oplysninger, de har krav på? Og ikke mindst: Går din virksomhed glip af muligheder for at gøre brug af data endnu bedre end i dag? Med den kommende persondataforordning er det forventningen, at der bliver indført en vis regulering af behavioral marketing. Det sker med regulering af profilering, der sker ved automatiserede processer, og hvor kombinationen med de kommende samtykkekrav og en regulering af pseudonymous data kan påvirke mulighederne for behavioral marketing. Kan din virksomheds digitale markedsføring gøres (mere) lovlig uden store investeringer, og kan du allerede i dag forberede dig på de kommende regler? Svaret er i mange tilfælde, at det er muligt at gøre brug af data i markedsføringen på en bedre måde, hvor du samtidig indretter dig i overensstemmelse med de regler, vi forventer, der vil gælde i fremtiden. Det handler om at få genbesøgt jeres persondatapolitik, cookiepolitik og samtykketekster samt at få ryddet op i databasen. www.kromannreumert.com/insights 8/9

KROMANN REUMERTS RÅDGIVNING Kromann Reumerts forretningsgruppe for compliance, persondata og interne undersøgelser rådgiver om alle juridiske aspekter af persondataretten inden for alle brancher, bl.a. den finansielle sektor, forsknings- og sundhedssektoren og telebranchen, og vi har over de senere år udvidet vores kompetencer og rådgivning inden for persondataretten ganske betragteligt. Det betyder, at Kromann Reumert med en række erfarne og dygtige advokater er et af de væsentligste firmaer i Danmark inden for dette felt. www.kromannreumert.com/insights 9/9

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback