www.pwc.dk Persondataforordningen Morgenmøde Henrik Aslund Pedersen Partner Revision. Skat. Rådgivning.
Hvorfor en ny Persondataforordning? EU persondataforordning - Morgenmøde Hillerød 2
Hvorfor en ny Persondataforordning? Fordi det er vigtigt at skabe den tillid, der gør det muligt, at den digitale økonomi kan udvikle sig Fysiske personer bør have kontrol over deres personoplysninger. 3
Det handler om databeskyttelse Hvem har adgang til hvilke data? (arbejdsbetinget behov) Hvad kan der ske med disse persondata? Authorization Hvor sikre er vi på, at alt foregår som det skal? Hvordan kan vi følge op på om processen og retningslinjerne efterleves? både så vi ved om autoriserede følger reglerne og at uautoriserede ikke opnår adgang Hvornår må der være adgang til persondata? Subject Audit Object 4
Hvad er personoplysninger Hvilke data taler vi om? Enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede). Al information som direkte eller indirekte kan henføres til en given fysisk person Omfatter også oplysninger, som kun særligt indviede personer vil kunne henføre til en given person Loven omfatter kun personoplysninger vedrørende fysiske personer, ikke juridiske personer. Ny klassifikation af data I persondataloven er der i dag 3 niveauer + CPR Det ændres til 2 niveauer - Persondata - Særlige kategorier Særlige kategorier af personoplysninger: Race, etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, behandling af genetiske data, helbredsoplysninger, oplysninger om seksuelle forhold, straffedomme eller tilknyttede sikkerhedsforanstaltninger. Den nuværende Persondatalov Almindelige ikke-følsomme oplysninger: identifikationsoplysninger, såsom navn, adresse, fødselsdato og e-mail. Fortrolige oplysninger: private forhold, såsom økonomiske og strafbare forhold, sociale problemer og lignende Følsomme oplysninger: race, religiøs og politisk overbevisning, helbredsmæssige og seksuelle forhold. 5
Action Hvad bør virksomhederne gøre nu? Kortlæg omfang af persondata i organisationen Det er processer og modenhed ift. eksisterende persondatalov (As-Is) Vurdering af compliance i forhold til de forventede skærpede krav i forordningen (To- Be) Styrkelse af sikkerhedsniveauet fx ved at se på: Governance og DPO Er der den rette opmærksomhed Håndtering af samarbejdspartnere Aftaler med databehandler Opdagelse og respons på hændelser (sikkerhedshændelser) Teknisk sikkerhedsniveau (arkitektur og beskyttelse). 6
Udpegning af Data Protection Officer (DPO) Krav om udpegning Data Protection Officer pligten skal ikke gælde efter faste tabeller over antal medarbejdere eller antal registrerede men være baseret på en risikovurdering fx Sundhedsdata, personlighedstest, lokationsdata Offentlige virksomheder skal fortsat have en DPO. Private virksomheder, som: foretager behandling som forudsætter jævnlig og systematisk overvågning af personer, eller behandler følsomme oplysninger, lokalitetsoplysninger eller oplysninger om børn og ansatte i store registre I forhold til risici! DPO rolle og ansvar sætter krav til kompetencer fx faglige kvalifikationer, erfaring, certificeringer mv. 7
Udpegning af Data Protection Officer (DPO) Væsentlige opgaver som DPO Den registrerede Den registeransvarlige/ registerføreren Tilsynsmyndigheden Rolle Ombudsmand Operationelt bindeled/kustode Ansvar Opgaver Varetagelse af den registreredes rettigheder. Kontaktpunkt og samarbejdspartner Sikre at forordningens bestemmelser efterleves Rådgivning af den registeransvarlige/ registerføreren. Anmeldelse af brud på persondatasikkerheden. Meddelelse ved brud på persondatasikkerheden. Tilsyn og dokumentation. Intern dokumentation. Samarbejde. 8
Privacy by Default Øget fokus på privatlivsbeskyttelse Princip om databeskyttelse gennem indstillinger/privacy by Default Det betyder bl.a. at: Princippet om indbygget databeskyttelse medfører at persondatabeskyttelse skal være standarden for myndigheder og virksomheder. Privacy er opfyldt ift. forordningen og brugerne aktivt skal vælge det fra! Hvilket er det omvendte af i dag Beskyttelse er en del af forretningsprocesserne - Privacy by Governance og samarbejdsmodel Der indsamles ikke persondata medmindre det er nødvendigt, og brugeren giver sit udtrykkelige samtykke hertil. Det oplyses hvad data skal anvendes til. 9
Privacy by Design Øget fokus på at sikkerhed en del af livscyklussen Princip om indbygget databeskyttelse/privacy by Design Princippet om databeskyttelse gennem indstillinger medfører at virksomheder og myndigheder skal tænke persondatabeskyttelse ind i den tekniske løsning. Det er en livscyklus tankegang (naturlig del af virksomhedens drift), hvor persondata beskyttes ift. fortrolighed (dataklassifikation) i alle behandlingsprocesser. Persondatabeskyttelse begynder i idéfasen og skal risiko- og konsekvensvurderes Design skal kunne favne et kontinuerligt overblik over hvad og hvor indsamlede, behandlede og gemte persondata er og hvordan de er beskyttet. Retten til at blive glemt og dataoverførsel er indarbejdet i designet. 10
Den registreredes ret til at blive glemt Den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse, Det betyder at forretningsgange, systemer og services i deres design skal kunne favne et kontinuerligt overblik over hvad og hvor indsamlede, behandlede og gemte data er, og at disse data kan slettes. I onlinemiljøet bør retten til sletning udvides, så en dataansvarlig, der har offentliggjort personoplysninger, forpligtes til at få slettet alle links til, kopier af eller gengivelser af disse personoplysninger. Data portability Data overførsel Den registrerede kan bede om at: Få en samlet liste over hvad der er registreret Få flyttet sine data fx fra en udbyder til en anden Dvs. design skal kunne samle informationerne og på struktureret vis overlevere dem til ny part, uden teknologiske barrierer Gælder også for cloud-baserede løsninger. 11
Skærpet underretningspligt Information til den registrerede Den registeransvarlige skal, som minimum, oplyse den registrerede om følgende ved indsamling af personoplysninger om den registrerede: Kontaktoplysninger om den registeransvarlige Behandlingsformål Opbevaringsperiode Den registreredes ret til indsigt Den registreredes ret til berigtigelse Den registreredes ret til at blive glemt og slettet Den registreredes ret til at klage til tilsynsmyndighed Modtager(e) af indsamlede oplysninger Ved videregivelse til tredjeland og/eller international organisation skal det pågældende beskyttelsesniveau oplyses. 12
Skærpet underretningspligt Ved brud på persondatasikkerheden Den registrerede skal underrettes, hvis det forventes at bruddet vil krænke den registrerede. Bruddet skal anmeldes til tilsynsmyndighed denne anmeldelse skal indeholde: Karakteren og konsekvenserne af bruddet. Kategorier og antal af berørte registrerede og registreringer. Kontaktoplysninger på DPO. Anbefalede og eventuelt iværksatte foranstaltninger. Underretning af både den registrerede og tilsynsmyndigheden skal ske uden unødig ophold. 13
Privacy Impact Assessment Udarbejdelse af konsekvensanalyse vedrørende databeskyttelse Konsekvensanalyse skal udarbejdes ved behandling af personoplysninger, som kan indebære specifikke risici for den registreredes rettigheder. Konsekvensanalysen fortæller om risici og konsekvenser = Hvad ønsker vi at beskytte os imod Spændingsfeltet fra ide til realisering/ idriftsætning er hvor design skal tage hånd om: Hvordan vi vil beskyttes os mod de identificerede risici/konsekvenser Det betyder at informationssikkerhed skal være en integreret del af virksomhedens måde at tænke på. Eksempler på spørgsmål/risici Vil projektet indebære indsamling af nye oplysninger om enkeltpersoner? Vil projektet tvinge enkeltpersoner til at give oplysninger om sig selv? Vil oplysninger om enkeltpersoner blive videregivet til organisationer eller personer, der ikke tidligere har haft adgang til oplysningerne? Risici Lider økonomiske tab Mister et job Skade på en persons omdømme Identitetstyveri. 14
Nye sanktionsmuligheder Ny bødestruktur Ved overtrædelse af persondataforordningen gives tilsynsmyndigheden følgende bemyndigelse: - Skriftlig advarsel i tilfælde af førstegangs- og ikke-intentionelle overtrædelser. - Regelmæssige/periodiske databeskyttelsesrevisioner/tilsyn. - Bøde på op til 4 % af den globale omsætning eller 20 mio. EUR, hvad end der er størst. 15