Persondataforordningen

Relaterede dokumenter
Plesner Certifikat i Persondataret

Plesner Certifikat i Persondataret

Plesner Certifikat i Persondataret

Forordningen er på plads, hvad nu?

RÅDET FOR DIGITAL SIKKERHED

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

Konsekvensanalyse/Data Protection Impact Assessment (DIA)

Data protection impact assessment

Persondataretlige aspekter ved cloud computing

Forberedelse til persondataforordningen. Plesners projektmodel

Persondataforordningen...den nye erklæringsstandard

Forberedelser forud for EU s databeskyttelsesforordning. 12 spørgsmål som dataansvarlige allerede nu med fordel kan forholde sig til

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

Overblik over persondataforordningen

7. NOVEMBER Side 1. Udbud og persondata. Advokat Jesper Nørøxe samt advokat Rasmus Holm Hansen

Persondataloven i en Smart City kontekst. Alexander Tureczek, Ph.d. candidate

Information Lifecycle Management

Tjekliste til arbejde med persondata. Branchefælleskab for Intelligent Energi

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

GDPR erklæringer - nu er det nu Claus Hartmann Lund september 2018

PERSONDATAFORORDNINGEN. DRF s årsmøde, april 2017

BPO og IT-outsourcing. Ved persondataspecialist Charlotte Bagger Tranberg

Nyt om persondata. Birgitte Toxværd, advokat

Persondataretlig compliance - Hvordan bliver din organisation klar?

Cookie-reglerne set fra myndighedsside Dansk Forum for IT-ret 5. november 2012

Persondataforordningen. Henrik Aslund Pedersen Partner

Få en globalt anerkendt persondata-certificering

ISO som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

Fællesregional Informationssikkerhedspolitik

General Data Protection Regulation

Persondataloven hvad er nyt?

Rigsarkivets konference 2. november 2016

Er I klar til den nye persondataforordning?

PERSONDATAFORORDNINGEN...

Rollen som DPO. September 2016

PERSONDATAFORORDNINGEN 10. December Pia Kirstine Voldmester Advokat (H), Partner

INTRO TIL PERSONDATAFORORDNINGEN. Væsentligste nyskabelser af relevans for IT-leverandører 8. juni 2016

ATEX direktivet. Vedligeholdelse af ATEX certifikater mv. Steen Christensen

FAST FORRETNINGSSTED FAST FORRETNINGSSTED I DANSK PRAKSIS

En praktisk tilgang til at skabe en langvarig og levedygtig praksis

Hvorfor er informationssikkerhed et ledelsesansvar?

Hvilke forberedelser kræver EUpersondataforordningen? Klaus Kongsted, Dubex A/S, 11. juni 2015

3. Spørgsmål om indsigt i loggen over opslag og søgninger i CPR.

PERSONDATAKONFERENCEN - FORORDNINGENS DOKUMENTATIONSKRAV. Advokat Pia Kirstine Voldmester

EU GDPR Endnu en Guide

Grab n Go: Session 2 EU s persondataforordning og hvad så?!? 17. marts 2016

EU Persondataforordningen, skærpet krav til sikkerheden om data

EU S PERSONDATAFORORDNING & CLOUD COMPUTING

Få en globalt anerkendt persondatacertificering

Persondatareguleringen. Hvorfor, hvornår, systemet og lidt om maj 2018

DATAT I LSYN ET 02 FEB Hedensted Kommune Niels Espes Vej Hedensted. Hedensted Kommui

Den nye persondataforordning. 2. februar 2017

Det skal du have styr pa inden 2018

KONKRET HÅNDTERING AF PERSONDATAFORORDNINGEN

Samarbejdsaftale mellem Finanstilsynet og Forbrugerombudsmanden vedrørende finansielle virksomheder


Tilladelse til vævscenter til håndtering af humane væv og celler Authorisation of tissue establishment for the handling of human tissues and cells

Introduktion til persondataforordning

Dokumentation af produktionsudstyr til fødevarer

Implementering af EU Persondataforordningen

PERSONDATAFORORDNINGEN ER DIN ORGANISATION KLAR TIL DEN NYE VIRKELIGHED?

PERSONDATA - INDSAMLING, BEHANDLING OG OPBEVARING AF FORBRUGSDATA I FORSYNINGSSEKTOREN

Overblik over Justitsministeriets betænkning og de væsentligste ændringer i persondataforordningen

Persondataforordningen

Persondataforordningen den 20. februar 2018

DPO ens rolle i praksis. 13. Juni 2016 Advokat Lars Japp Haslund

PERSONDATALOVEN - UDFORDRINGER. Birthe Boisen, Juridisk Konsulent Tlf

Transkript:

Persondataforordningen Michael Hopp, advokat og partner 10. september 2015

Program Introduktion Forhandlingerne om forordningen Hvad vil forordningen betyde? Compliance under forordningen 2

Forhandlingerne om forordningen

Processen hidtil: Kommissionens erklærede målsætninger Harmoniseret anvendelse og håndhævelse af databeskyttelsesretten Fremme realiseringen af Det (digitale) Indre Marked Forbedret beskyttelse af individers grundlæggende rettigheder 4

Kommissionens supplerende/reelle målsætninger (når man fanger dem i korridorerne) At efterligne EU-konkurrencerettens succes At rykke databeskyttelse ind i bestyrelseslokalet At sikre reel efterlevelse 5

Vi nærmer os enden Kommissionens forslag fremsat i januar 2012 Parlamentet havde sit forslag på plads i marts 2014 Ministerrådet vedtog deres "general approach" den 15. juni 2015 Tidsplan for trilog forhandlinger Ambition om at være færdige til december 2015 Men holder den? Forventet ikrafttrædelse Nok et sted mellem 1. januar og 1. juli 2018 6

Hvad vil forordningen betyde?

Persondataforordningen - et overblik Den grundlæggende opbygning, behandlingsregler, den registreredes rettigheder, krav om overførselsgrundlag, mv. Datasikkerhed "Old news" Krav vi kender fra persondataloven og direktiv 95/46. Accountability Privacy by design/default Udpegning af en DPO Bøder på op til 5% Forordningens krav Juridiske krav til den dataansvarlige, bl.a. særlige krav til databehandleraftaler, skærpet og strafbelagt pligt til selv at "tilstå" datasikkerhedsbrister, pligt til at dokumentere at alle retlige krav er efterlevet, regler om søgsmål, jurisdiktion osv. 8

Overblik over forordningen Formål. materielt og geografisk anvendelsesområde, definitioner Art. 1-4 Behandlingsregler Art. 5-10, 80-85 Gennemsigtighed, den registreredes rettigheder, datasikkerhedsbrud Art. 11-21, 31-32 "Accountability", Privacy by design/privacy by default Art. 22-23 Relationen mellem dataansvarlig og databehandler Art. 24-27 Dokumentation, PIA, forudgående godkendelse, DPO Art. 28-29, 33-37 Sikkerhed Art. 30 Adfærdskodeks og certificering Art. 38-39 Tredjelandsoverførsler Art. 40-45 Tilsynsmyndighed Art. 46-54 Samarbejde ("Onestop-shop"), sammenhæng og EDPB Art. 54a-72 Ansvar og sanktioner Art. 73-79b 9

Fokus på compliance 10

Compliance under forordningen

Accountability Article 22 (Rådet) 1. Taking into account the nature, scope, context and purposes of the processing as well as the likelihood and severity of risk for the rights and freedoms of individuals, the controller shall implement appropriate measures and be able to demonstrate that the processing of personal data is performed in compliance with this Regulation. 12

Accountability Hvordan? Kortlægning af alle (væsentlige) databehandlinger og udarbejdelse af en fortegnelse (som herefter holdes ajour) (se også artikel 28) Politikker og procedurer, som implementerer de relevante regler i Forordningen F.eks. behandlingsregler, oplysningspligt, udarbejdelse af PIA, slettepolitikker Identificer de nødvendige kontrolmål ud fra relevante regler, herunder fortolkning af reglen i den konkrete situation, risiko for overtrædelse af reglen og konsekvens af overtrædelse Privacy by design/default Intern undervisning og uddannelse i persondatabeskyttelse Procedurer for behandling af den registreredes rettigheder (fx indsigtsret og right to be forgotten) Etablering af interne procedurer i forbindelse med datasikkerhedsbrud Audits ISO 29100 er et godt sted at starte for at få et rammeværk for accountability arbejdet. 13

Privacy by Design Article 23 (Rådet) Data protection by design and by default 1. Having regard to available technology and the cost of implementation and taking account of the nature, scope, context and purposes of the processing as well as the likelihood and severity of the risk for rights and freedoms of individuals posed by the processing, the controllers shall implement technical and organisational measures appropriate to the processing activity being carried out and its objectives, including data minimisation and pseudonymisation, in such a way that the processing will meet the requirements of this Regulation and protect the rights of data subjects. 14

Privacy by Default Article 23 (Rådet) Data protection by design and by default 2. The controller shall implement appropriate measures for ensuring that, by default, only personal data, which are necessary for each specific purpose of the processing are processed; this applies to the amount of data collected, the extent of their processing, the period of their storage and their accessibility. Where the purpose of the processing is not intended to provide the public with information, those mechanisms shall ensure that by default personal data are not made accessible without human intervention to an indefinite number of individuals. 15

Data Protection Officer - Rollen Bliver der krav om en DPO? Krav til DPO'en Artikel 35 (EP) 5. The controller or processor shall designate the data protection officer on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and ability to fulfil the tasks referred to in Article 37. The necessary level of expert knowledge shall be determined in particular according to the data processing carried out and the protection required for the personal data processed by the controller or the processor. 16

Data Protection Officer - Rollen Data subjects shall have the right to contact the data protection officer on all issues related to the processing of the data subject s data and to request exercising the rights under this Regulation. Ikke en almindelig intern rådgiver, men derimod en persondatatillidsmand Har mange lighedspunkter med compliancefunktionen i finansielle virksomheder Skal ikke stå for det daglige arbejde med overholdelsen af forordningen, men derimod føre tilsyn med forretningen DPO'en varetager ikke virksomhedens interesser, men derimod datasubjekternes interesser (og nogen gange også tilsynsmyndighedens ) 17

Dokumentation art. 28 Pligt til at have dokumentation for behandlingsaktiviteter Svarer meget til det nuværende anmeldelsesskema Undtagelse for virksomheder under 250 medarbejdere og uden behandling af persondata som hovedaktivitet Skal ikke sendes ind! 18

Data Protection Impact Assessment art. 33 Pligt til at udarbejde PIA ved høj risiko i forhold til individers rettigheder og friheder, herunder tab af fortrolighed for fortrolige oplysninger (generelt bredt formuleret) Liste over særligt PIA-påkrævede behandlinger Hvis profilering med "decisions that produce legal effects or severely affect data subjects" Hvis behandling af følsomme oplysninger "processed for taking decisions regarding specific individuals on a large scale" Undtagelse fra pligten til PIA, ved behandling af oplysninger på grundlag af retlig forpligtelse eller ved udførelse af offentlige opgaver/myndighedsudøvelse (men mulighed for pligt under national ret) Medlemsstater kan fastsætte nærmere regler om behandlinger, som er omfattet hhv. undtaget fra pligten 19

Data Protection Impact Assessment Hvad skal PIA'en indeholde? Generel beskrivelse af behandling, Vurdering af risici, samt Anvendte mekanismer til nedsættelse af risici, herunder til sikring af overholdelse af forordningen Code of conducts kan betyde at pligten bortfalder Pligt til at inddrage SU/forbrugerorganisationer! Formentlig pligt til at indsende til Datatilsynet, hvis konklusionen på PIA'en er, at der er en høj risiko, som ikke mitigeres 20

Data protection by design and by default (artikel 23) By design "Having regard to the available technology and the cost of implementation and taking into account of the nature, scope, context and purposes of the processing as well as the likelihood and severity of the risk for the rights and freedoms of individuals posed by the processing, the controller shall implement technical and organisational measures appropriate to the processing activity being carried out and its objectives, such as data minimisation and pseudonomisation in such a way that the processing will meet the requirements of this Regulation and protect the rights of data subjects." 41, stk. 3 i den nugældende persondatalov "Den dataansvarlige skal træffe de fornødne foranstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere." Forordningen hæver sig over de konkrete eksempler, men gør det klart, at det handler om at beskytte den registreredes interesser Ikke en indholdsmæssig forpligtelse men et spørgsmål om implementering Risikobaseret tilgang 21

Data breach notification 22

Data breach notification art. 31-32 Både til Datatilsynet og de berørte datasubjekter Stadig usikkerhed om, hvornår pligten udløses Men pligten kommer, dog måske kun for (Rådet) "a personal data breach which is likely to result in a high risk for the rights and freedoms of individuals, such as discrimination, identity theft or fraud, financial loss, unauthorized reversal of pseudonymisation, damage to the reputation, loss of confidentiality of data protected by professional secrecy or any other significant economic or social disadvantage," Frist: "Without undue delay" (normalt 72 timer til Datatilsynet). Om nødvendigt lagdelt information. Undtagelse ift. datasubjekter - artikel 32(3): Anonyme data Efterfølgende kompenserende foranstaltninger Disproportional indsats ift datasubjekter Stride mod en væsentlig offentlig interesse 23

Yderligere krav "Profilering" "Dataportabilitet" Krav rettet direkte mod databehandleren, herunder auditeringsret for den dataansvarlige bødestraf i grove sager for utilstrækkelig sikkerhed. 24

Konklusion på forordningen Større bøder, øget fokus fra myndigheder, kunder, konkurrenter og medierne Persondataforordningen er en game-changer inden for compliance med persondatabeskyttelse Man skal - som i dag - også kunne dokumentere, at man har en tilstrækkelig datasikkerhed. Den store forandring bliver, at man skulle dokumentere, at man overholder de materielle regler - altså at man har et lovgrundlag for sin indsamling og anvendelse af oplysningerne, at man orienterer individerne om, at man har deres oplysninger, at man har foretaget Privacy Impact Assessment osv. Persondatabeskyttelse og datasikkerhed er ikke det samme! Datasikkerhed handler om beskyttelse af virksomhedens interesser. Inden for datasikkerhed accepteres det, at der aldrig kan opnås fuldstændig sikkerhed. Persondatabeskyttelse handler om beskyttelse af individernes interesser. Individerne er per definition ikke risikovillige. Enhver risikovilje fra virksomhedens side er en vilje til at tage en risiko for en bøde og få en tur på forsiden! 25

Nyhed: "Plesner DPO Academy" Bliv klar til rollen som Data Protection Officer Forordningen vil formentlig introducere begrebet "Data Protection Officer" - eller databeskyttelsesansvarlig - i dansk ret. Rollen vil være en form for intern "ombudsman" i virksomheder eller myndigheder af en vis størrelse eller som udfører særlige behandlinger af personoplysninger. Plesners særlige DPO-uddannelse vil trække på vores unikke internationale netværk og bygge på erfaringerne fra Persondataretligt Forum. Uddannelsen vil dække alle de kompetencer, der er påkrævede for at bestride stillingen, herunder et højt niveau af indsigt i persondataretten. Kurserne vil være på små hold, der sammensættes med henblik på at sikre så bred en erfaringsudveksling som muligt på tværs af sektorer mv. Oplæg fra Danmarks største hold af persondataretseksperter samt fra DPO's fra flere multinationale virksomheder Kursusstart: Umiddelbart efter forordningens endelige vedtagelse. Hvis du ønsker at være blandt de første, der modtager tilbud om optagelse, så send en email til Michael Hopp på mho@plesner.com 26

Persondataretligt Forum Et netværk for personer med særlig interesse inden for persondatabeskyttelse Aktuelle og generelle seminarer udbydes løbende 6 årlige nyhedsbreve om alt hvad der rører sig inden for persondatabeskyttelse Tilmelding på www.plesner.com/pdforum 27

Tak for i dag Michael Hopp Advokat, partner T: +45 36 94 13 06 M: +45 29 99 30 14 mho@plesner.com 28

Plesner Plesner Advokatfirma Amerika Plads 37 2100 København Ø Denmark T: +45 33 12 11 33 Fax: +45 33 12 00 14 CVR: 42 93 85 13 www.plesner.com

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback