Forordningen er på plads, hvad nu?

Relaterede dokumenter
Plesner Certifikat i Persondataret

Plesner Certifikat i Persondataret

Overblik over persondataforordningen

Persondata Loyalitetsprogrammer. V/Advokat Michael Hopp

PERSONDATAFORORDNINGEN STATUS???? OG ER DER NOGET NYT I DEN?

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Persondata fra en it-vinkel. Dansk Fjernvarme

7. NOVEMBER Side 1. Udbud og persondata. Advokat Jesper Nørøxe samt advokat Rasmus Holm Hansen

Databeskyttelsesdagen

Kontrakt om IT-infrastruktur-services 2017

BIG DATA OG PERSONDATABESKYTTELSE

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

DEN KOMMENDE EU-FORORDNING

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

FORSYNINGSTRÆF 2016 PERSONDATARET HVORFOR NU EGENTLIG DET?

Forberedelse til persondataforordningen. Plesners projektmodel

Overblik over persondataforordningen

Relationen dataansvarlig/ databehandler. v/rami Chr. Sørensen

De registreredes rettigheder

Den nye persondataforordning. 17. maj 2016

Plesner Certifikat i Persondataret

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Persondataforordningen den 20. februar 2018

HAR DIN VIRKSOMHED STYR PÅ GDPR? v/ Advokat Henrik Mansfeldt Witt & Advokatfuldmægtig Majbritt Alemany

EN DAG OM PERSONDATAFORORDNINGEN. STU Foreningen. 7. december 2017

Den nye persondataforordning. 2. februar 2017

Agenda. Præsentation af Thomas Riisager Persondataforordningen de vigtigste punkter. Pause

Persondataforordningen

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

Grab n Go: Session 2 EU s persondataforordning og hvad så?!? 17. marts 2016

GML-HR A/S CVR-nr.:

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

Forbrugerrettens betydning for persondataretten. Jan Trzaskowski Associate Professor, Ph.D. Copenhagen Business School

Per Løkken, Partner. CAMPUS November 2018

Aftale vedrørende fælles dataansvar

Data protection impact assessment

EU Persondataforordningen, skærpet krav til sikkerheden om data

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Rigsarkivets konference 2. november 2016

Persondatareguleringen. Hvorfor, hvornår, systemet og lidt om maj 2018

Introduktion til persondataforordning

Persondataforordningen

Persondataforordningen - set med danske øjne

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

Databehandleraftale (v.1.1)

Tjekliste til databehandleraftaler

General Data Protection Regulation

Ecofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager

Bilag 1 Databehandler aftale (v.1.2)

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

EU Persondataforordning GDPR

Selskabet har efter lovgivningen pligt til at informere dig om, hvordan Selskabet behandler og videregiver personoplysninger.

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

Persondataloven i en Smart City kontekst. Alexander Tureczek, Ph.d. candidate

Rami Christian Sørensen

Persondataforordningen AbMano

Persondataforordningen og offentlige organisationer

Konsekvensanalyse/Data Protection Impact Assessment (DIA)

Persondataforordningen. Hvad kan vi bruge KITOS til?

AMU-Vests Persondatapolitik

Er I klar til den nye persondataforordning?

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

Standardvilkår. Databehandleraftale

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

Forordningen: Data Protection Officer, jura og sikkerhed. Lars Boye, Dubex A/S ESL-efteruddannelsen, den 9. marts 2016

Håndtering af Persondataforordningen. Aarhus den 22. august 2017 Advokat Kamilla Mondrup

Regler om persondata Koordinatormøde den 28. nov. 2017

Behandling af personoplysninger

Persondataforordningen

Databehandleraftale mellem. Heyloyalty ApS Jens Baggesens Vej Aarhus N Cvr: (i det følgende HL eller databehandleren)

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Den Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".

Persondataforordningen...den nye erklæringsstandard

Lector ApS CVR-nr.:

Information om behandling af persondata i Jyske Realkredit

Persondataforordningen. Henrik Aslund Pedersen Partner

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

PERSONDATAFORORDNING - at blive klar til. Kirkeministeriets syn på den nye Persondataforordning FDK temadag i Vejle - 19.

Personoplysninger. Jens Hørlück

Må lrettet årbejde med persondåtåforordningen for Gl. Rye Våndværk

Persondatapolitik Vordingborg Gymnasium & HF

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Databehandleraftale. Mellem. Brugere af software fra Datalogisk. Den dataansvarlige: Databehandleren: Datalogisk A/S CVR Stubbekøbingvej 41

Overblik over Justitsministeriets betænkning og de væsentligste ændringer i persondataforordningen

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Må lrettet årbejde med persondåtåforordningen for Vejby Smidstrup Våndværk

Persondata i sundhedsapps

Uanmodede henvendelser. Uanmodede henvendelser. Uanmodede henvendelser

Surftown A/S. Regionsgolf-Danmark DATABEHANDLERAFTALE. Databehandleraftalen foreligger mellem. Regionsgolf-Danmark.

Ma lrettet arbejde med persondataforordningen for

Tjekliste til arbejde med persondata. Branchefælleskab for Intelligent Energi

Persondatabeskyttelsespolitik for REFA

Databehandleraftale. Mellem. Den dataansvarlige: Kunde hos Alsbogføring. Databehandleren. Alsbogføring.dk ApS. Møllegade Sønderborg.

Rollen som DPO. September 2016

Databehandleraftale. Mellem. Den dataansvarlige: Databehandleren. Ribe Mediehus CVR Industrivej Ribe. Danmark

Vi passer på dine persondata

Transkript:

Forordningen er på plads, hvad nu? v/advokat Michael Hopp og advokat Christian Wiese Svanberg 28. januar 2016

Vi kender alle overskrifterne 2

Et bud på virksomheders og myndigheders virkelighed under de nye regler Hovedpunkter for vores oplæg Indgangsbøn Processen herfra En ny virkelighed - udvalgte problemstillinger Hvad bør I gøre? 3

Indgangsbøn

Fra forordning til direktiv til forordning Teoretisk om forordninger En forordning er "almengyldig" Bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat Medlemsstater må ikke gengive ordlyden af forordningen i national lov Begrænset adgang for medlemsstaterne til at lovgive, når først en forordning finder anvendelse inden for et retsområde 5

Fra forordning til direktiv til forordning I praksis om persondataforordningen Forordningens indhold er afgørende Undtagelser og "huller" med frihed til medlemsstaterne Lavere harmoniseringsniveau end under persondatadirektivet Eksempler på derogationer Behandling af persondata ifm. personaleadministration Udvide listen over dataansvarlige, som skal have en DPO 6

Et kig ind i fremtiden Winfried Veil 7

Processen herfra

Hvad sker der nu? En kortvarig "lovteknisk" proces på EU niveau Forventet endelig vedtagelse af persondataforordningen - marts/april? Ikrafttrædelse 20 dage efter offentliggørelse 2 år herefter vil forordningen "finde anvendelse" Med alle forbehold maj/juni 2018 9

Hvad sker der nu? Justitsministeriets persondatakontor skal Kortlægge hvordan forordningen vil påvirke dansk ret Vurdere hvilke af "fleksibilitets"-bestemmelserne i forordningen, der bør udnyttes f.eks. om den registreredes rettigheder, adgang til profilering, samtykke fra børn, straf for offentlige myndigheders overtrædelser mv. Afdække hvilke særlove og sektorspecifikke love mv., der kan/ønskes opretholdes (ansættelsesret/overenskomster, forskningsformål osv.) Overveje hvordan Datatilsynet skal reguleres, organiseres mv. Fastsætte hjemmel til at straffe overtrædelser af forordningen Regulere hvordan sager om "administrative bøder" skal håndteres Afklare forholdet til anden EU ret, herunder "LEA" direktivet 10

Anvendelsesdatoen 2 år og 20 dage efter offentliggørelsen Betragtning 134: "Behandlinger, der allerede er iværksat på datoen for denne forordnings ikrafttræden, bør bringes i overensstemmelse med denne forordning senest to år efter denne forordnings ikrafttræden" Eksisterende samtykker kan stadig bruges, hvis "måden hvorpå samtykket er afgivet er i overensstemmelse med betingelserne i denne forordning" 11

En ny virkelighed?

Overblik over forordningen 1. Formål. materielt og geografisk anvendelsesområde, definitioner Art. 1-4 2. Grundprincipper, behandlingsregler Art. 5-10, 80-85 3. Gennemsigtighed, den registreredes rettigheder, Art. 11-21 4. "Accountability", Privacy by design/privacy by default Art. 22-23 5. Relationen mellem dataansvarlig og databehandler Art. 24-27 6. Dokumentation, samarbejde, DPIA, DPO Art. 28-29, 33-37 7. Sikkerhed, datasikkerhedsbrud Art. 30-32 8. Adfærdskodeks og certificering Art. 38-39 9. Tredjelandsoverførsler Art. 40-45 10. Tilsynsmyndighed Art. 46-54 11. Samarbejde ("One-stop-shop"), sammenhæng og EDPB Art. 54a-72 12. Ansvar og sanktioner Art. 73-79b 13. Delegerede retsakter, forholdet til 95/46/EF og 2002/58/EF, evaluering, ikrafttrædelse Art. 86-91 13

Grundprincipper Samme grundprincipper som i dag art. 5 Lovligt Formålsbegrænsning Dataminimering Nøjagtighed Opbevaringsbegrænsning " ensuring that the period for which the data are stored are limited to a strict minimum" (B30) 14

Behandlingsregler Alle behandlinger af persondata skal have hjemmel Samtykke En frivillig, specifik, informeret og utvetydig viljestilkendegivelse Eksplicit samtykke til behandling af følsomme personoplysninger Dokumentationspligt Samtykket skal udgøres af en aktiv handling! Men meget bred forståelse af "aktiv handling" i B25 Samtykket skal fremhæves og være forståeligt "It shall be as easy to withdraw consent as to give it" 15

Behandlingsregler Samtykke Gyldighedsbetingelse - oplyse om muligheden for at kalde et samtykke tilbage Pas på frivillighed B32+B34 Samtykke kan ikke anses for frivilligt, hvis det er en betingelse for indgåelse/gennemførelse af en aftale, herunder om levering af en tjeneste, hvor behandlingen af oplysninger ikke er nødvendig Offentlige myndigheder Medlemsstaterne kan forbyde samtykke som behandlingsgrundlag for følsomme oplysninger Børn og unge forældresamtykke ved brug af samtykke som grundlag for informationssamfundstjenester for børn under 16/13 år. Konklusion om samtykke 16

Gennemsigtighed, den registreredes rettigheder Oplysningspligt - art. 14 og art. 14 (a) Kravene ligner i grundtræk de eksisterende krav, men udvidelser Bl.a. pligt til at oplyse om, hvor lang tid oplysningerne opbevares Hjemmel til behandlingen, inkl. interesser til interesseafvejning Tredjelandsoverførsler og hjemmel hertil At vedkommende har mulighed for til enhver tid - at tilbagekalde sit samtykke Oplysninger om behandlinger baseret på "automated decisions" Hvis nye formål ny meddelelse herom 17

Gennemsigtighed, den registreredes rettigeheder Data Portabilitet - art. 18 Retten til at kunne medtage oplysninger om en selv i et brugbart format Kun oplysninger afgivet af personen selv og behandlet på grundlag af samtykke/aftale Behandlet ved hjælp af "automated means" "In the public interest"/"official authority" undtaget Kan kræve oplysninger sendt fra dataansvarlig til dataansvarlig, hvis det er teknisk muligt 18

Gennemsigtighed, den registreredes rettigheder Profilering art. 20 Retten til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering, som har retsvirkning eller tilsvarende har betydelige konsekvenser for den pågældende F.eks. automatisk afslag på en onlineansøgning om kredit eller e-rekrutteringsprocedurer uden nogen menneskelig indgriben "Profilering" bestående i enhver form for automatisk behandling af personoplysninger, der evaluerer personlige forhold vedrørende en fysisk person, navnlig for at analysere eller forudsige forhold vedrørende arbejdsindsats, økonomisk situation, helbred, personlige præferencer eller interesser, pålidelighed eller adfærd, opholdssted eller bevægelser Lovligt, hvis nødvendigt for indgåelse af en aftale, hvis hjemlet i national ret eller hvis eksplicit samtykke Dvs. krav om samtykke til "kvalificeret" profilering af forbrugere til markedsføringsformål 19

Gennemsigtighed, den registreredes rettigheder Right to be forgotten - art. 17 Fik ikke det indhold, som den var markedsført med Kun pligt til at slette Hvis oplysningerne ikke længere er relevante, henset til det formål de blev indsamlet til Personen gør indsigelse, og der ikke er nogen overstigende legitime grunde til behandlingen Hvis oplysningerne anvendes til direkte markedsføring (eventuelt sammen med profilering) Oplysningerne er indsamlet i forbindelse med informationssamfundstjenester udbudt til børn Undtagelser til retten, herunder særligt ytringsfrihed og retskravsreglen 20

Data Protection by design / default Art. 23(1) - Data protection by design Under hensyntagen til Hvad der er teknisk muligt Omkostningerne til implementering Behandlingens karakteristika Risikoen for den registreredes rettigheder og frihedsrettigheder Skal den dataansvarlige såvel i forbindelse med planlægningen som i forbindelse med gennemførelsen af behandlingen implementere passende tekniske og organisatoriske foranstaltninger, som er designede til at understøtte databeskyttelsesprincipper 21

Data Protection by design / default Art. 23(2) - Data protection by default Den dataansvarlige skal implementere passende tekniske og organisatoriske foranstaltninger til sikring af, at data som udgangspunkt kun behandles i det omfang, der er nødvendigt for det specifikke formål Dette gælder Indsamlingen af data Omfanget af behandling Opbevaring af data (ikke længere tid end nødvendigt) Adgang til data Særligt skal det sikres, at data ikke gøres frit tilgængelige uden aktiv menneskelig indgriben 22

Dataansvarlig - databehandler Art. 26 - Væsentlig udvidelse af minimumsindhold i databehandleraftalen, bl.a. Udvidelse af de "lovfæstede" krav til databehandleraftalen bl.a. "flow-down" og forpligtelse og hæftelse for underdatabehandlers opfyldelse, pligt til at bistå den dataansvarlige med at møde en række forpligtelser og pligt til at slette eller returnere data efter instruks (art. 26) Krav om forudgående specifikt eller generelt samtykke til brug af underdatabehandlere og mulighed for at den dataansvarlige kan protestere (art. 26) Pligt for databehandleren til at underrette den dataansvarlige, hvis det vurderes, at en instruks er i strid med forordningen, anden EU ret eller national ret (art. 26) Næsten alle databehandleraftaler skal genforhandles 23

Har I styr på jeres databehandlere? 24

DPIA Hvad er en "Data Protection Impact Assessment"? Identifikation af risici Redskab til at fastslå relevante sikkerhedsforanstaltninger Formål Sikre datasubjektets rettigheder Indholdsmæssige krav Systematisk beskrivelse af behandlingen Vurdering af nødvendighed og proportionalitet Vurdering af risiko for datasubjektets rettigheder Iværksatte foranstaltninger for at imødegå risici Hvornår Hvis høj iboende risiko eller liste fra DT Konsultation Hvis høj risiko efter mitigerende foranstaltninger 25

DPO mv. Hvem skal have en DPO Pligten er udløst for: 1. Alle offentlige myndigheder og enheder ("bodies") 2. Dataansvarlige/databehandlere, hvor "kerneaktiviteterne" består af behandlingsoperationer der gennem deres "natur, omfang og/eller deres formål kræver regelmæssig og systematisk monitorering af registrerede i stor skala" 3. Dataansvarlige/databehandlere, der behandler følsomme oplysninger i stor skala Én DPO kan som udgangspunkt dække en koncern eller flere offentlige myndigheder Hvad er kravene til en DPO? "The data protection officer shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the tasks referred to in Article 37." 26

Data Breach Notification Notifikation til Datatilsynet art. 31 Pligt til at anmelde "personal data breach" Sikkerhedsbrist, ikke compliancebrist. Definition i art. 4, nr. 9 "unless the personal data breach is unlikely to result in a risk for the rights and freedoms of individuals." Accountability programmet vil være en del af opfyldelsen af denne bevisbyrde Men "unlikely" og "risk" (ikke "high risk") Frist: "without undue delay and, where feasible, not later than 72 hours after having become aware of it." Pligt til at begrunde, hvis man går ud over 72 timer - Oplysning kan gives i faser Ingen yderligere undtagelser! Krav om data breach handling policy (B68), som del af accountability program Særskilt pligt til at dokumentere en sikkerhedsbrist art. 31 (4) 27

Data Breach Notification Notifikation til datasubjekter art. 32 Pligt til at oplyse datasubjekter om "personal data breach" Men dog kun hvis "likely to result in a high risk for the rights and freedoms of individuals." Accountability programmet vil være en del af opfyldelsen af denne bevisbyrde Men "likely" og "high risk" omvendt formulering ift. orientering af Datatilsynet Frist: "without undue delay" Undtagelser: Sikkerhedsforanstaltninger, f.eks. kryptering, vedr. de berørte data Efterfølgende foranstaltninger, som har mitigeret den "høje risiko" Disproportionalt at orientere datasubjekter direkte. I stedet offentlig meddelelse med samme virkning 28

Ansvar og sanktioner EUR 10.000.000 eller 2% af global årlig omsætning Privacy by design/default Databehandleraftaler Dokumentation Sikkerhed/data breach notification DPO EUR 20.000.000 eller 4% af global årlig omsætning Grundprincipper og behandlingsreglerne Den registreredes rettigheder Tredjelandsoverførsler Private dataansvarlige kan sagsøges i ethvert EU land, hvor der er bosat personer, som de behandler oplysninger om Erstatning/godtgørelse 29

Hvad bør I gøre? Pas på med at undervurdere opgavens omfang der er mange praktiske og juridiske opgaver, der skal løses Tilpas arbejdet til jeres størrelse, sektor og risikoprofil Offentlige myndigheder vil ofte have færre overvejelser i forhold til behandlingshjemmel, men vil til gengæld ofte have vanskelige afgrænsninger til relevante ressortlove Hvor godt har I styr på reglerne i dag? Er i compliant i praksis eller kun på papiret? Ved I, hvilke data I behandler, og hvor de befinder sig? Skab rammen for en god dialog mellem alle relevant afdelinger (HR, markedsføring, sagsbehandling, IT, IT-sikkerhed, legal, compliance, kunde/borgerservice mv.) 30

Hvordan Skab den formelle ramme for arbejdet Sørg for, at opgaven er forankret hos én eller få projektansvarlige med det fornødne mandat og passende ressourcer Gå i gang i dag og start langsomt. To år kan gå hurtigt, hvis man ikke er foran processen Accountability er den nye virkelighed, så lær at foretag de fornødne prioriteringer det nytter ikke at vente på ubestemt tid på, at EDPB eller Datatilsynet giver jer svaret på alle spørgsmål "Desto længere I er fra de registrerede jo mere stiger jeres risiko" 31

Spørgsmål? Michael Hopp Advokat, partner T: +45 36 94 13 06 M: +45 29 99 30 14 mho@plesner.com Christian Wiese Svanberg Advokat T: +45 36 94 11 96 M: +45 30 93 71 10 cws@plesner.com 32

Plesner Plesner Advokatfirma Amerika Plads 37 2100 København Ø Denmark T: +45 33 12 11 33 Fax: +45 33 12 00 14 CVR: 42 93 85 13 www.plesner.com Informationerne i denne præsentation er af generel karakter og er ikke at forveksle med juridisk rådgivning. Anvendelse af præsentationens informationer sker på eget ansvar. Du er velkommen til at kontakte Plesner ved behov for rådgivning.

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback