Forordningen er på plads, hvad nu? v/advokat Michael Hopp og advokat Christian Wiese Svanberg 28. januar 2016
Vi kender alle overskrifterne 2
Et bud på virksomheders og myndigheders virkelighed under de nye regler Hovedpunkter for vores oplæg Indgangsbøn Processen herfra En ny virkelighed - udvalgte problemstillinger Hvad bør I gøre? 3
Indgangsbøn
Fra forordning til direktiv til forordning Teoretisk om forordninger En forordning er "almengyldig" Bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat Medlemsstater må ikke gengive ordlyden af forordningen i national lov Begrænset adgang for medlemsstaterne til at lovgive, når først en forordning finder anvendelse inden for et retsområde 5
Fra forordning til direktiv til forordning I praksis om persondataforordningen Forordningens indhold er afgørende Undtagelser og "huller" med frihed til medlemsstaterne Lavere harmoniseringsniveau end under persondatadirektivet Eksempler på derogationer Behandling af persondata ifm. personaleadministration Udvide listen over dataansvarlige, som skal have en DPO 6
Et kig ind i fremtiden Winfried Veil 7
Processen herfra
Hvad sker der nu? En kortvarig "lovteknisk" proces på EU niveau Forventet endelig vedtagelse af persondataforordningen - marts/april? Ikrafttrædelse 20 dage efter offentliggørelse 2 år herefter vil forordningen "finde anvendelse" Med alle forbehold maj/juni 2018 9
Hvad sker der nu? Justitsministeriets persondatakontor skal Kortlægge hvordan forordningen vil påvirke dansk ret Vurdere hvilke af "fleksibilitets"-bestemmelserne i forordningen, der bør udnyttes f.eks. om den registreredes rettigheder, adgang til profilering, samtykke fra børn, straf for offentlige myndigheders overtrædelser mv. Afdække hvilke særlove og sektorspecifikke love mv., der kan/ønskes opretholdes (ansættelsesret/overenskomster, forskningsformål osv.) Overveje hvordan Datatilsynet skal reguleres, organiseres mv. Fastsætte hjemmel til at straffe overtrædelser af forordningen Regulere hvordan sager om "administrative bøder" skal håndteres Afklare forholdet til anden EU ret, herunder "LEA" direktivet 10
Anvendelsesdatoen 2 år og 20 dage efter offentliggørelsen Betragtning 134: "Behandlinger, der allerede er iværksat på datoen for denne forordnings ikrafttræden, bør bringes i overensstemmelse med denne forordning senest to år efter denne forordnings ikrafttræden" Eksisterende samtykker kan stadig bruges, hvis "måden hvorpå samtykket er afgivet er i overensstemmelse med betingelserne i denne forordning" 11
En ny virkelighed?
Overblik over forordningen 1. Formål. materielt og geografisk anvendelsesområde, definitioner Art. 1-4 2. Grundprincipper, behandlingsregler Art. 5-10, 80-85 3. Gennemsigtighed, den registreredes rettigheder, Art. 11-21 4. "Accountability", Privacy by design/privacy by default Art. 22-23 5. Relationen mellem dataansvarlig og databehandler Art. 24-27 6. Dokumentation, samarbejde, DPIA, DPO Art. 28-29, 33-37 7. Sikkerhed, datasikkerhedsbrud Art. 30-32 8. Adfærdskodeks og certificering Art. 38-39 9. Tredjelandsoverførsler Art. 40-45 10. Tilsynsmyndighed Art. 46-54 11. Samarbejde ("One-stop-shop"), sammenhæng og EDPB Art. 54a-72 12. Ansvar og sanktioner Art. 73-79b 13. Delegerede retsakter, forholdet til 95/46/EF og 2002/58/EF, evaluering, ikrafttrædelse Art. 86-91 13
Grundprincipper Samme grundprincipper som i dag art. 5 Lovligt Formålsbegrænsning Dataminimering Nøjagtighed Opbevaringsbegrænsning " ensuring that the period for which the data are stored are limited to a strict minimum" (B30) 14
Behandlingsregler Alle behandlinger af persondata skal have hjemmel Samtykke En frivillig, specifik, informeret og utvetydig viljestilkendegivelse Eksplicit samtykke til behandling af følsomme personoplysninger Dokumentationspligt Samtykket skal udgøres af en aktiv handling! Men meget bred forståelse af "aktiv handling" i B25 Samtykket skal fremhæves og være forståeligt "It shall be as easy to withdraw consent as to give it" 15
Behandlingsregler Samtykke Gyldighedsbetingelse - oplyse om muligheden for at kalde et samtykke tilbage Pas på frivillighed B32+B34 Samtykke kan ikke anses for frivilligt, hvis det er en betingelse for indgåelse/gennemførelse af en aftale, herunder om levering af en tjeneste, hvor behandlingen af oplysninger ikke er nødvendig Offentlige myndigheder Medlemsstaterne kan forbyde samtykke som behandlingsgrundlag for følsomme oplysninger Børn og unge forældresamtykke ved brug af samtykke som grundlag for informationssamfundstjenester for børn under 16/13 år. Konklusion om samtykke 16
Gennemsigtighed, den registreredes rettigheder Oplysningspligt - art. 14 og art. 14 (a) Kravene ligner i grundtræk de eksisterende krav, men udvidelser Bl.a. pligt til at oplyse om, hvor lang tid oplysningerne opbevares Hjemmel til behandlingen, inkl. interesser til interesseafvejning Tredjelandsoverførsler og hjemmel hertil At vedkommende har mulighed for til enhver tid - at tilbagekalde sit samtykke Oplysninger om behandlinger baseret på "automated decisions" Hvis nye formål ny meddelelse herom 17
Gennemsigtighed, den registreredes rettigeheder Data Portabilitet - art. 18 Retten til at kunne medtage oplysninger om en selv i et brugbart format Kun oplysninger afgivet af personen selv og behandlet på grundlag af samtykke/aftale Behandlet ved hjælp af "automated means" "In the public interest"/"official authority" undtaget Kan kræve oplysninger sendt fra dataansvarlig til dataansvarlig, hvis det er teknisk muligt 18
Gennemsigtighed, den registreredes rettigheder Profilering art. 20 Retten til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering, som har retsvirkning eller tilsvarende har betydelige konsekvenser for den pågældende F.eks. automatisk afslag på en onlineansøgning om kredit eller e-rekrutteringsprocedurer uden nogen menneskelig indgriben "Profilering" bestående i enhver form for automatisk behandling af personoplysninger, der evaluerer personlige forhold vedrørende en fysisk person, navnlig for at analysere eller forudsige forhold vedrørende arbejdsindsats, økonomisk situation, helbred, personlige præferencer eller interesser, pålidelighed eller adfærd, opholdssted eller bevægelser Lovligt, hvis nødvendigt for indgåelse af en aftale, hvis hjemlet i national ret eller hvis eksplicit samtykke Dvs. krav om samtykke til "kvalificeret" profilering af forbrugere til markedsføringsformål 19
Gennemsigtighed, den registreredes rettigheder Right to be forgotten - art. 17 Fik ikke det indhold, som den var markedsført med Kun pligt til at slette Hvis oplysningerne ikke længere er relevante, henset til det formål de blev indsamlet til Personen gør indsigelse, og der ikke er nogen overstigende legitime grunde til behandlingen Hvis oplysningerne anvendes til direkte markedsføring (eventuelt sammen med profilering) Oplysningerne er indsamlet i forbindelse med informationssamfundstjenester udbudt til børn Undtagelser til retten, herunder særligt ytringsfrihed og retskravsreglen 20
Data Protection by design / default Art. 23(1) - Data protection by design Under hensyntagen til Hvad der er teknisk muligt Omkostningerne til implementering Behandlingens karakteristika Risikoen for den registreredes rettigheder og frihedsrettigheder Skal den dataansvarlige såvel i forbindelse med planlægningen som i forbindelse med gennemførelsen af behandlingen implementere passende tekniske og organisatoriske foranstaltninger, som er designede til at understøtte databeskyttelsesprincipper 21
Data Protection by design / default Art. 23(2) - Data protection by default Den dataansvarlige skal implementere passende tekniske og organisatoriske foranstaltninger til sikring af, at data som udgangspunkt kun behandles i det omfang, der er nødvendigt for det specifikke formål Dette gælder Indsamlingen af data Omfanget af behandling Opbevaring af data (ikke længere tid end nødvendigt) Adgang til data Særligt skal det sikres, at data ikke gøres frit tilgængelige uden aktiv menneskelig indgriben 22
Dataansvarlig - databehandler Art. 26 - Væsentlig udvidelse af minimumsindhold i databehandleraftalen, bl.a. Udvidelse af de "lovfæstede" krav til databehandleraftalen bl.a. "flow-down" og forpligtelse og hæftelse for underdatabehandlers opfyldelse, pligt til at bistå den dataansvarlige med at møde en række forpligtelser og pligt til at slette eller returnere data efter instruks (art. 26) Krav om forudgående specifikt eller generelt samtykke til brug af underdatabehandlere og mulighed for at den dataansvarlige kan protestere (art. 26) Pligt for databehandleren til at underrette den dataansvarlige, hvis det vurderes, at en instruks er i strid med forordningen, anden EU ret eller national ret (art. 26) Næsten alle databehandleraftaler skal genforhandles 23
Har I styr på jeres databehandlere? 24
DPIA Hvad er en "Data Protection Impact Assessment"? Identifikation af risici Redskab til at fastslå relevante sikkerhedsforanstaltninger Formål Sikre datasubjektets rettigheder Indholdsmæssige krav Systematisk beskrivelse af behandlingen Vurdering af nødvendighed og proportionalitet Vurdering af risiko for datasubjektets rettigheder Iværksatte foranstaltninger for at imødegå risici Hvornår Hvis høj iboende risiko eller liste fra DT Konsultation Hvis høj risiko efter mitigerende foranstaltninger 25
DPO mv. Hvem skal have en DPO Pligten er udløst for: 1. Alle offentlige myndigheder og enheder ("bodies") 2. Dataansvarlige/databehandlere, hvor "kerneaktiviteterne" består af behandlingsoperationer der gennem deres "natur, omfang og/eller deres formål kræver regelmæssig og systematisk monitorering af registrerede i stor skala" 3. Dataansvarlige/databehandlere, der behandler følsomme oplysninger i stor skala Én DPO kan som udgangspunkt dække en koncern eller flere offentlige myndigheder Hvad er kravene til en DPO? "The data protection officer shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the tasks referred to in Article 37." 26
Data Breach Notification Notifikation til Datatilsynet art. 31 Pligt til at anmelde "personal data breach" Sikkerhedsbrist, ikke compliancebrist. Definition i art. 4, nr. 9 "unless the personal data breach is unlikely to result in a risk for the rights and freedoms of individuals." Accountability programmet vil være en del af opfyldelsen af denne bevisbyrde Men "unlikely" og "risk" (ikke "high risk") Frist: "without undue delay and, where feasible, not later than 72 hours after having become aware of it." Pligt til at begrunde, hvis man går ud over 72 timer - Oplysning kan gives i faser Ingen yderligere undtagelser! Krav om data breach handling policy (B68), som del af accountability program Særskilt pligt til at dokumentere en sikkerhedsbrist art. 31 (4) 27
Data Breach Notification Notifikation til datasubjekter art. 32 Pligt til at oplyse datasubjekter om "personal data breach" Men dog kun hvis "likely to result in a high risk for the rights and freedoms of individuals." Accountability programmet vil være en del af opfyldelsen af denne bevisbyrde Men "likely" og "high risk" omvendt formulering ift. orientering af Datatilsynet Frist: "without undue delay" Undtagelser: Sikkerhedsforanstaltninger, f.eks. kryptering, vedr. de berørte data Efterfølgende foranstaltninger, som har mitigeret den "høje risiko" Disproportionalt at orientere datasubjekter direkte. I stedet offentlig meddelelse med samme virkning 28
Ansvar og sanktioner EUR 10.000.000 eller 2% af global årlig omsætning Privacy by design/default Databehandleraftaler Dokumentation Sikkerhed/data breach notification DPO EUR 20.000.000 eller 4% af global årlig omsætning Grundprincipper og behandlingsreglerne Den registreredes rettigheder Tredjelandsoverførsler Private dataansvarlige kan sagsøges i ethvert EU land, hvor der er bosat personer, som de behandler oplysninger om Erstatning/godtgørelse 29
Hvad bør I gøre? Pas på med at undervurdere opgavens omfang der er mange praktiske og juridiske opgaver, der skal løses Tilpas arbejdet til jeres størrelse, sektor og risikoprofil Offentlige myndigheder vil ofte have færre overvejelser i forhold til behandlingshjemmel, men vil til gengæld ofte have vanskelige afgrænsninger til relevante ressortlove Hvor godt har I styr på reglerne i dag? Er i compliant i praksis eller kun på papiret? Ved I, hvilke data I behandler, og hvor de befinder sig? Skab rammen for en god dialog mellem alle relevant afdelinger (HR, markedsføring, sagsbehandling, IT, IT-sikkerhed, legal, compliance, kunde/borgerservice mv.) 30
Hvordan Skab den formelle ramme for arbejdet Sørg for, at opgaven er forankret hos én eller få projektansvarlige med det fornødne mandat og passende ressourcer Gå i gang i dag og start langsomt. To år kan gå hurtigt, hvis man ikke er foran processen Accountability er den nye virkelighed, så lær at foretag de fornødne prioriteringer det nytter ikke at vente på ubestemt tid på, at EDPB eller Datatilsynet giver jer svaret på alle spørgsmål "Desto længere I er fra de registrerede jo mere stiger jeres risiko" 31
Spørgsmål? Michael Hopp Advokat, partner T: +45 36 94 13 06 M: +45 29 99 30 14 mho@plesner.com Christian Wiese Svanberg Advokat T: +45 36 94 11 96 M: +45 30 93 71 10 cws@plesner.com 32
Plesner Plesner Advokatfirma Amerika Plads 37 2100 København Ø Denmark T: +45 33 12 11 33 Fax: +45 33 12 00 14 CVR: 42 93 85 13 www.plesner.com Informationerne i denne præsentation er af generel karakter og er ikke at forveksle med juridisk rådgivning. Anvendelse af præsentationens informationer sker på eget ansvar. Du er velkommen til at kontakte Plesner ved behov for rådgivning.