Den nye persondataforordning Hvordan kommer du i gang?
2 Agenda Status på processen mod forordningens ikrafttrædelse Væsentligste ændringer: Oplysningskategorier Behandlingsbestemmelser Skærpede krav til samtykke Right to be forgotten/dataportabilitet Accountability dokumentationskrav Privacy Impact Assessment Data protection by design/default/pseudonymisering Krav til databehandlere selvstændige krav til dokumentation mv. Krav til databehandleraftalens indhold Notifikationspligt Data Protection Officer (DPO) Sanktioner Praktisk compliance
3 Status på processen mod forordningens ikrafttrædelse Hvad ligger fast? Teksten i forordningen Udestående Den endelige vedtagelse dato for ikrafttrædelse (Q1-2018) En dansk version af forordningsteksten Hvad vælger Danmark (og de andre medlemsstater) at gøre på områder, hvor medlemsstaterne har frihedsgrader? Hvornår begynder Kommissionen at vedtage delegerede retsakter? Hvornår begynder de relevante organer (herunder de store tilsynsmyndigheder) at komme med fortolkningsbidrag?
Hvad er personoplysninger? Anonyme oplysninger Pseudonyme oplysninger Cpr-nr. Køn Navn Race Adresse E-mail-adresse Seksuel overbevisning Fødselsdato Foto Kreditkortnummer Adgangskontrol Helbredsoplysninger MedarbejderID Telefonnummer Personlighedstest Nummerplade Politisk overbevisning Religion Genetisk information? Interesser Væsentlige sociale problemer Personlige produktionstal Familiemæssige oplysninger Uddannelse (karakterer) Pasnr. Initialer/Loginnavn Stilling GPSoplysninger Størrelse på tøj og sko IP-adresse Fagforeningsmæssige tilhørsforhold Rejseoplysninger Elektroniske spor Biometriske oplysninger Videoovervågning Logning i IT-systemer Straffeattest MAC-adresse Løn
Oplysningskategorier Almindelige oplysninger Semi-følsomme oplysninger Følsomme oplysninger Cpr-nr. Persondataloven Fx Personnavn Adresse E-mail Oplysninger om strafbare forhold Sociale problemer Andre rent private forhold end følsomme oplysninger Racemæssig eller etnisk baggrund Politisk, religiøs eller filosofisk overbevisning Fagforeningsmæssige tilhørsforhold Oplysninger om helbredsmæssige eller seksuelle forhold Offentlige myndigheder: Mhp. entydig identifikation/journalnummer Private virksomheder: Lovbestemmelse/samtykke Aldrig offentliggørelse uden samtykke Persondataforordningen Også Oplysninger om strafbare forhold * Sociale problemer Andre rent private forhold end følsomme oplysninger Racemæssig eller etnisk baggrund Politisk, religiøs eller filosofisk overbevisning Fagforeningsmæssige tilhørsforhold Behandling af generiske eller biometriske data med henblik på unik identifikation Oplysninger om helbredsmæssige eller seksuelle forhold Medlemsstater kan fastsætte specielle betingelser, dog krav om tilstrækkelige sikkerhedsforanstaltninger
6 Behandlingsbestemmelser Regler stort set identiske med reglerne i persondataloven (-direktivet), dog Medlemslande kan opretholde og vedtage særlovgivning vedr. behandling nødvendig for: overholdelse af retlig forpligtelse udførelsen af en opgave i samfundets interesse udførelsen af en opgave, der henhører under offentlig myndighedsudøvelse pålagt den dataansvarlige Behandling til nye formål (ikke samtykke eller lovgivning både EU og medlemsstat) dataansvarlig skal sikre forenelighed med det oprindelige indsamlingsformål, herunder Sammenhæng mellem formål Den kontekst som oplysningerne er indsamlet i Personoplysningernes natur Konsekvenserne af den påtænkte videre behandling Eksistensen af egnede sikkerhedsforanstaltninger Behandling til interne administrative formål i en koncern på baggrund af en legitim interesse
7 Skærpede krav til samtykke Samtykke som behandlingsgrundlag: Almindelige oplysninger: Samtykke Følsomme oplysninger: Udtrykkeligt samtykke En dataansvarlig skal altid kunne dokumentere at have modtaget et datasubjekts samtykke til behandling af personoplysninger Samtykke kan ikke udgøre lovligt behandlingsgrundlag, hvis der er en klar ubalance mellem datasubjektet og den dataansvarlige Vurdering af, om et samtykke er frivilligt: Samtykke som betingelse for tillægsydelser, der ikke er nødvendige i forhold til en kontrakt? Det skal være lige så let at trække et samtykke tilbage som at afgive det Hvis samtykke indhentes igennem en skriftlig erklæring med anden information fx en ansættelseskontrakt eller en privacy policy skal samtykkeanmodningen adskilles tydeligt fra øvrigt indhold I forbindelse med børns (< 16 år) aktiviteter på sociale medier skal samtykke indhentes hos den, der har forældremyndigheden (medlemsstat kan vælge at nedsætte grænsen til 13 år)
8 Right to be forgotten/dataportabilitet Ret til sletning Oplysningerne er ikke længere nødvendige i forhold til formålet med indsamling og behandling, bl.a. Tilbagekaldelse af samtykke eller manglende retligt grundlag Datasubjektet modsætter sig behandlingen og ingen tungtvejende legitime grunde til fortsat behandling Informationssamfundstjenester rettet mod børn (under 16 år eller ned til 13 år) Dataportabilitet Datasubjekt ret til at få personoplysninger givet til en dataansvarlig i et struktureret, almindeligt brugt og maskinlæsbart format Almindelige oplysninger: Samtykke eller aftale Følsomme oplysninger: Udtrykkeligt samtykke Behandlingen udføres via elektronisk databehandling
Accountability dokumentationskrav Den dataansvarlige skal kunne dokumentere compliance med forordningen Både dataansvarlige (og databehandlere) skal opbevare dokumentation for enhver behandling af personoplysninger (gælder ikke for virksomheder med under 250 ansatte) Dokumentationen skal mindst omfatte: Navn og kontaktoplysninger på den dataansvarlige eller den fælles dataansvarlige og dennes eventuelle repræsentant samt evt. DPO Formålene med behandlingen Beskrivelse af kategorier af datasubjekter og kategorier af personoplysninger vedrørende datasubjekter Kategorier af modtagere af personoplysningerne Evt. overførsel af personoplysninger til et tredjeland, herunder identifikation af dette tredjeland, og dokumentation af fornødne garantier ved overførsel til ikke-sikre tredjelande En generel angivelse af tidsfristerne for sletning af de forskellige kategorier af personoplysninger Hvis muligt, en beskrivelse de tekniske og organisatoriske sikkerhedsforanstaltninger
10 Privacy Impact Assessment Konsekvensanalyse Behandlinger af personoplysninger der indebærer specifikke risici for datasubjektets rettigheder og frihedsrettigheder i medfør af dens karakter, omfang eller formål (både dataansvarlig og databehandler) Profilering Behandling af helbredsoplysninger mhp. at træffe foranstaltninger eller beslutninger vedr. bestemte grupper Overvågning af offentligt tilgængelige områder, navnlig ved omfattende brug af videoovervågning Minimumskrav til PIA Generel beskrivelse af den planlagte behandling, Analyse af risiciene for datasubjektets rettigheder og frihedsrettigheder De foranstaltninger, der er nødvendige for at afhjælpe disse risici, samt Garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelsen af personoplysninger og påvise overensstemmelse med persondataforordningen
11 Data protection by design/by default og pseudonymisering Indbygget databeskyttelse Iværksættes under hensyntagen til det aktuelle tekniske niveau og omkostningerne i forbindelse med gennemførelsen Både ved fastlæggelse af metoderne til behandling og når selve behandlingen foretages iværksættes tekniske og organisatoriske foranstaltninger og procedurer, fx pseudonymisering, så behandlingen opfylder kravene i forordningen og sikrer beskyttelsen af datasubjektets rettigheder Databeskyttelse gennem indstillinger Gennemførelse af mekanismer med henblik på, som udgangspunkt, at sikre at der kun behandles nødvendige personoplysninger i forhold til behandlingsformålet at der kun sker nødvendig indsamling og opbevaring i forhold til behandlingsformål (både mængde, omfang og periode) Mekanismer sikrer navnlig, at personoplysninger som udgangspunkt ikke stilles til rådighed for et ubegrænset antal personer uden datasubjektets vidende Pseudonymisering: Behandling af personoplysninger på en sådan måde, at det ikke er muligt at knytte oplysninger til datasubjektet uden brug af yderligere information (skal opbevares adskilt fra de pseudonymiserede oplysninger og underlægges tilstrækkelige sikkerhedsforanstaltninger)
12 Krav til databehandlere selvstændige krav til dokumentation mv. Databehandlere underlagt langt strengere krav end efter persondataloven, bl.a. Næsten identiske dokumentationskrav som dataansvarlige Den dataansvarlige skal kun bruge databehandlere, der giver tilstrækkelige garantier vedr. implementering af passende tekniske og organisatoriske foranstaltninger, så behandlingen sker i overensstemmelse med forordningens krav og sikrer beskyttelse af datasubjektets rettigheder Databehandlerens ansvar ift. databehandleraftaler Indhentelse af den dataansvarliges samtykke ved overladelse af oplysninger til andre/nye underdatabehandlere Underdatabehandleraftaler Sikring af, at underdatabehandlere opfylder deres forpligtelser Indgåelse af databehandleraftaler stadig den dataansvarliges ansvar
13 Krav til databehandleraftalens indhold Behandlingens varighed Formålet med behandlingen Typer af data der behandles Kategorier af datasubjekter Databehandlerens pligter og rettigheder, navnlig at databehandlere skal: alene behandle data efter den dataansvarliges dokumenterede instruks sikre at medarbejdere, der behandler data, er underlagt en fortrolighedsforpligtelse efterkomme alle lovpligtige sikkerhedsforanstaltninger overholde krav vedrørende anvendelse af andre databehandlere i muligt omfang bistå den dataansvarlige med at behandle begæringer, udarbejde PIA, underretning af tilsynsmyndigheden ved sikkerhedsbrud mv. være i stand til over for den dataansvarlige at fremvise alt nødvendig information for at dokumentere compliance med reglerne i forordningen
14 Notifikationspligt Brud på persondatasikkerheden": Brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet udbredelse af eller adgang til personoplysninger, der er videregivet, lagret eller på anden måde behandlet Ved sikkerhedsbrud: Anmeldelse af brud til tilsynsmyndighed inden 72 timer Indholdskrav til anmeldelse: Beskrivelse af karakteren af bruddet på persondatasikkerheden, herunder kategorierne og antallet af berørte datasubjekter samt kategorierne og antallet af berørte registreringer Angivelse af identitet og kontaktoplysninger for DPO en eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes Anbefaling af foranstaltninger, der kan afhjælpe de mulige skadevirkninger af bruddet på persondatasikkerheden Beskrivelse af konsekvenserne af bruddet på persondatasikkerheden Beskrivelse af de foranstaltninger, som den dataansvarlige foreslår eller har iværksat for at afhjælpe bruddet på persondatasikkerheden Når et sikkerhedsbrud indebærer en høj risiko for datasubjektets rettigheder og friheder, skal den pågældende underrettes uden ugrundet ophold (ikke ubetinget notifikationspligt) Databehandleren skal underrette den dataansvarlige uden ugrundet ophold
15 Data Protection Officer (DPO) Hvilke organisationer (både dataansvarlige og databehandlere) skal have en DPO? Offentlige myndigheder Private virksomheder, hvis kerneaktivitet består af omfattende databehandling, som kræver regelmæssig og systematisk monitorering Private virksomheder, hvis kerneaktivitet består af en omfattende behandling af følsomme personoplysninger Øvrige organisationer kan udpege DPO medlemsstaterne kan lave særregler Alle organisationer bør forankre arbejdet med persondata hos en DPO/databeskyttelsesansvarlig Koncern kan udpege én fælles DPO Udpegning på grundlag af faglige kvalifikationer og ekspertise inden for persondatalovgivning og -praksis
16 Data Protection Officer (DPO) Opgaver (minimumskrav): Underretning og rådgivning af dataansvarlig /databehandler om forpligtelser i henhold til forordningen Overvåge gennemførelsen og anvendelsen af den dataransvarliges/databehandlerens regler om beskyttelse af personoplysninger både fra EU og nationalt, herunder uddanne medarbejdere Kontrollere den dataansvarliges/databehandlerens gennemførelse af PIA og anvendelsen af forudgående godkendelse eller høring af tilsynsmyndigheden i de situationer, hvor der er krav om dette Samarbejde med og være kontaktpunkt for de relevante tilsynsmyndigheder Dataansvarlig/databehandler sikrer, at DPO en inddrages i alle spørgsmål vedr. beskyttelsen af personoplysninger Refererer direkte til øverste ledelse (karakter af stabsfunktion) Kan ikke afskediges eller straffes for udførelse af sine opgaver, men ikke en egentlig beskyttet stilling
17 Sanktioner Overtrædelsestype: Indhentning af samtykke ift. børn Behandlinger, som ikke kræver identifikation Data protection by Design/Default Delt dataansvar Repræsentanter for dataansvarlige etableret udenfor EU Databehandlere Databehandlerinstruks Dokumentation for datastrømme Samarbejde med tilsynsmyndigheden Sikkerhedsforanstaltninger Notifikation Privacy Impact Assessment Forudgående underretning af tilsynsmyndighed Udpegning af DPO (herunder krav, stilling og opgaver) Certificering Offentlige myndigheder** Bødeniveau*: Private virksomheder Op til EUR 10.000.000 Op til EUR 10.000.000 eller 2 % af virksomhedens årlige globale omsætning (den højeste af de to) * Danmark har særregler, så bøder bliver strafferetlige i stedet for administrative ** Medlemsstaterne kan selv beslutte om og i hvilken udstrækning administrative bøder kan pålægges offentlige myndigheder
18 Sanktioner Overtrædelsestype: Grundlæggende principper for behandling Grundlag for behandling (både almindelige og følsomme oplysninger) Betingelser for samtykke Datasubjektets rettigheder Sikkerhedsforanstaltninger Offentlige myndigheder** Bødeniveau*: Private virksomheder Op til EUR 20.000.000 Op til EUR 20.000.000 eller 4 % af virksomhedens årlige globale omsætning (den højeste af de to) * Danmark har særregler, så bøder bliver strafferetlige i stedet for administrative ** Medlemsstaterne kan selv beslutte om og i hvilken udstrækning administrative bøder kan pålægges offentlige myndigheder
Praktisk compliance 19
Hvornår skal man begynde at tænke compliance? NU! Fordi: Medierne har allerede nu fokus på persondata Compliance tager tid typisk år i større organisationer Ressourcer eksternt, men ikke mindst internt Hvem er stakeholders? Compliance = konkurrenceparameter fremadrettet UK survey april 2015: Engelske forbrugere er villige til at betale for bedre beskyttelse af personoplysninger online Compliance har indflydelse på en virksomheds salgsværdi/borgernes tillid til en myndighed Klar til 2018 og dermed undgå bøder
Persondataretligt compliance projekt Compliance projektet tilpasses den enkelte organisations behov, fokusområder og kultur HR (ansatte) Borgere Kunder/forbrugere Udvalgte selskaber/hele koncernen Projektets formål, scope og resultat beskrives i compliance oplæg Udpegning af compliance team/arbejdsgruppe/styregruppe Afgørende med grundigt benarbejde i relation til: Interne ressourcer Eksterne ressourcer Tidshorisont Aktiv projektstyring og løbende sejre er vigtigt i projekter, der strækker sig over længere tid!
22 Projektoverblik Fase 1: Foranalyse 2: Planlægning 3: Analyse 4: Risk mitigation 5: Procedurer 6: Forankring 7: Rapportering Resultat Gap-analyse og overblik over aktuelt complianceniveau og identifikation af højrisikoområder Kortlægning af databehandlere, projektplanlægning og etablering af projektorganisation Datastrømsanalyse, privacy risk assessment og evt. itsikkerhed Sikring af det rette juridiske grundlag gennem aftaler, anmeldelser og tilladelser, evt. BCR. Etablering af interne politikker og procedurer, herunder DPOorganisation. Uddannelse af medarbejdere, intern bevidsthed og kommunikation. Kontrol, opfølgning og løbende rapportering, evt. årlig audit. Produkt Projektplan og organisering Datagrundlag og risikoprofil Anmeldelser/ tilladelser Klare retningslinjer Pre auditrapport Træningsprogrammer Årlig revision Beslutning og den fortsatte proces samt estimat på den fremadrettede investering ved næste fase
23 Tidsplan Møde Sagsbehandling Rapportering Fase 1: Foranalyse Fase 2: Planlægning Fase 3: Analyse Mar 16 Apr 16 Maj 16 Jun 16 Jul 16 Aug 16 Sep 16 Okt 16 Nov 16 Kick-off møde Interviews Gap-analyse Pre audit-rapport Kortlægning af databehandlere Projektplan + organisation Datastrømsanalyse Risk assessment It-audit Datarapport
24 Privacy Risk Assessment - eksempel HR Uønsket hændelse Konsekvens Administration af medarbejderoplysninger 2 5 10 Uddannelse 2 2 4 Databehandleraftaler 4 4 16 Rejser 3 2 6 Overførsel af oplysninger til tredjelande 5 5 25 Payroll 4 5 20
25 Privacy Risk Assessment Grafisk Konsekvens 6 Privacy Risk 5 4 3 2 1 0 0 1 2 3 4 5 6 Uønsket hændelse
Hvad giver et compliance-projekt den enkelte organisation? Overholdelse af forordningens omfattende krav Væsentlig reduceret risiko for bøder og dårlig medieomtale Dokumentation af datastrømme ofte finder man ud af, at processer kan optimeres/forenkles Øget awareness blandt ansatte om risikoen forbundet med behandling af persondata Compliance bliver et vigtigt konkurrenceparameter fremadrettet i forhold til kunder/borgere, samarbejdspartnere, investorer mv.
27 Kontakt Mikkel Friis Rossa Partner Aarhus IP & Technology T +45 72 27 33 59 M +45 25 26 33 59 E mif@bechbruun.com Charlotte Bagger Tranberg Persondataspecialist Aarhus IP & Technology T +45 72 27 34 76 M +45 25 26 34 76 E cbt@bechbruun.com Marie Albæk Jacobsen Advokat Aarhus IP & Technology T +45 72 27 33 49 M +45 25 26 33 49 E maja@bechbruun.com
28 København Danmark Aarhus Danmark Shanghai Kina T +45 72 27 00 00 www.bechbruun.com