Persondataforordningen - Sådan bliver ungdomsuddannelsesinstitutionerne klar til de nye regler v/advokaterne Niels Banke og Martin Sønnersgaard 1
To centrale spørgsmål Hvordan påvirker de nye persondataregler jer? Hvad kan I gøre allerede nu for at overholde reglerne? 2
Det persondataretlige univers Karakterer Oplysninger på Lectio Sygdom Fraværsårsager HRoplysninger Personoplysninger Alle oplysninger om en identificeret eller identificerbar fysisk person Sociale medier Billeder fra fredagsfesten Oplysning om forældres alkoholmisbrug 3
Leverandør Underleverandør 6. SEPTEMBER 2016 Hvor findes personoplysninger henne? 4
Persongalleriet Dataansvarlige (ungdomsuddannelsesinstitutioner) Databehandlere (systemleverandører, hostingvirksomheder) De registrerede (studerende, lærere, øvrige ansatte, forældre etc.) 5
Det nye retlige landskab Persondataforordningen er trådt i kraft skal anvendes fra den 25. maj 2018 Forordningen gælder umiddelbart i Danmark skal ikke implementeres, men fortolkes Persondataloven og sikkerhedsbekendtgørelsen ophæves men skal overholdes indtil da Formentlig ny supplerende persondatalov og sikkerhedsbekendtgørelse 6
Noget nyt og noget gammelt Grundlæggende struktur er stort set bevaret Væsentligste nyheder Ansvarlighed: Forpligtelse til selv at opretholde dokumentation for efterlevelse af reglerne (compliance) Databeskyttelsesansvarlig: Alle offentlige myndigheder og visse private virksomheder skal have en DPO (Data Protection Officer) Strenge bøder: Væsentligt strengere sanktionssystem Nogle af de andre nyskabelser i forordningen Skærpede krav til samtykke Krav om privacy by design og privacy by default Pligt til at orientere Datatilsynet og i nogen tilfælde også de registrerede i tilfælde af datasikkerhedsbrister Strengere krav til databehandlere Styrkelse af de registreredes rettigheder Udvidet mulighed for erstatning for overtrædelse af reglerne 7
Er der forskel på reglerne for jer? Nogle af jer er organisationer under den offentlige forvaltning andre er ikke Nej, som udgangspunkt ikke forskel på reglerne for private virksomheder og offentlige myndigheder Væsentligste undtagelser DPO en er pligtmæssig for offentlige myndigheder, men kun for visse virksomheder Private virksomheder underlægges strenge bøder det gør offentlige myndigheder ikke nødvendigvis 8
De grundlæggende principper Personoplysninger skal efter art. 5, stk. 1: behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«) indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål (»formålsbegrænsning«) være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«) være korrekte og om nødvendigt ajourførte (»rigtighed«) opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles (»opbevaringsbegrænsning«) behandles på en sikker måde (»integritet og fortrolighed«). 9
Behandlingsregler Det kræver hjemmel at behandle personoplysninger, f.eks. samtykke Ikke-følsomme personoplysninger (art. 6) Følsomme personoplysninger (art. 9, 10) 10
Nogle eksempler Udsendelse af materiale til studerende Et uddannelsessted må ikke udlevere studerendes navne og adresser til brug for udsendelse af informations- eller markedsføringsmateriale uden de studerendes samtykke. Udsendelse af informationsmateriale om diverse studie- og erhvervsrelevante tiltag til de studerende kan ske uden samtykke. Der må dog ikke udsendes egentligt markedsføringsmateriale. Elevoplysninger på internettet Offentliggørelse af oplysninger om elever i form af navne, portrætbilleder, klassebilleder eller fritidsinteresser på skolens hjemmeside må kun ske, hvis der forinden er indhentet samtykke fra hver enkelt elev. Situationsbilleder vs. portrætbilleder 11
Nogle eksempler Kontrol af de studerendes internetbrug, f.eks. i form af logning Kan ske uden samtykke, hvis hensynet er at sikre en etisk forsvarlig brug af internettet, herunder sikre, at der ikke downloades pornografisk materiale o.lign. Forudsætning at de studerende informeres på forhånd om kontrollen (Rt. j.nr. 1999-210-189 (RÅ 1999, s. 48-49) Videregivelse af karakterer etc. En uddannelsesinstitution kan normalt udlevere oplysninger om, hvilke elever der går på skolen (klasselister) uden samtykke Men som altovervejende hovedregel ikke oplysninger om karakterer o.lign. (Retsudvalgets spm. nr. 57 til lovforslag L 44 af 8. oktober 1998) 12
Samtykke (art. 7) Et samtykke skal være en frivillig, specifik, informeret og utvetydig viljestilkendegivelse, jf. art. 4, nr. 11 Dataansvarlige skal som hidtil kunne påvise, at datasubjektet har samtykket til behandlingen Kravene til bevis for samtykke skærpes, jf. utvetydighed Skriftligt samtykke anbefales Kan godt indhentes og dokumenteres digitalt Samtykket skal være adskilt fra øvrige tekst Det er en gyldighedsbetingelse for et samtykke, at der forinden er informeret om muligheden for at trække samtykket tilbage. Det skal være lige så let at trække tilbage som at give det. Hvor gammel skal man være for at kunne give et gyldigt samtykke? 13
Kontrolforanstaltninger over for ansatte F.eks. Overvågning af internettrafik Overvågning af mailtrafik Egentlig gennemgang af ansattes mails i forbindelse med mistanker, eller i forbindelse med fratræden TV-overvågning Retsstillingen i dag kollektivretlig regulering og persondataregulering 14
Dokumentation for overholdelse Pligt til at dokumentere compliance, jf. art. 24: Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Pligt til at dokumentere overholdelse af behandlingsprincipperne, jf. art. 5, stk. 2, dvs. principperne om Lovlighed, rimelighed, gennemsigtighed, til udtrykkelige og legitime formål, at behandlingen er nødvendig og proportionel mv. Dokumentation skal bl.a. sikres via politikker og retningslinjer samt beskrivelser af sikringer og dataflow i systemer. 15
Dokumentation - fortegnelsen I forordningen introduceres et princip om egen kontrol i form af dokumentation af databehandlingen, jf. art. 30 ( Fortegnelse ): Hver dataansvarlig fører fortegnelser over behandlingsaktiviteter under deres ansvar. Fortegnelser skal foreligge skriftligt, herunder elektronisk, jf. stk. 3. Fortegnelsen skal på anmodning stilles til rådighed for tilsynsmyndigheden, jf. stk. 4. Kravet om en fortegnelse gælder som udg.pkt. ikke organisationer og foretagender med < 250 ansatte Indholdet af en fortegnelse efter artikel 30, stk. 1: a) Navn og kontaktoplysninger på den dataansvarlige eller den fælles dataansvarlige og denne eventuelle repræsentant samt evt. DPO b) Formålene med behandlingen c) Beskrivelse af kategorier af datasubjekter og kategorier af personoplysninger vedrørende datasubjekter d) Kategorier af modtagere af personoplysningerne e) overførsler af personoplysninger til et tredjeland eller en international organisation, f) de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger, g) en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger omhandlet i artikel 32, stk. 1 16
Dataflowsanalyser Det er en forudsætning for compliance, at man som dataansvarlig har et overblik over sine data Indhold (ikke udtømmende): Hvilke typer af personoplysninger behandles? (Ikkefølsomme/følsomme) Hvorfra indsamles oplysningerne? (Fra lærerne/eleverne/registre) Hvordan indsamles oplysningerne? Videregives oplysningerne og i så fald til hvem? (Andre virksomheder/offentlige myndigheder) Formålet/-ene med behandlingen? Hvor bruges de henne i organisationen? Hvor og hvordan oplysningerne er opbevaret og sikret? Hvornår og hvordan oplysningerne vil blive slettet? 17
Sikkerhed 18
Kilde: Beretning til Statsrevisorerne om statens behandling af fortrolige oplysninger om personer og virksomheder, s. 22, Rigsrevisionen, nov. 2014 19
Pligt til at fastsætte passende sikkerhedsforanstaltninger Den dataansvarlige skal fastsætte passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at forordningen overholdes, jf. art. 24, stk. 1 Vurdering ud fra behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder Foranstaltningerne skal om nødvendigt revideres og ajourføres. Menneskelige fejl Hvor går det typisk galt? F.eks. sender e-mails uden kryptering eller til forkert modtager, glemmer USB-sticks, lader papirer flyde i printerrummet Organisatoriske fejl Glemmer at fastsætte eller opdatere interne retningslinjer, manglende kontrol med databehandlere, manglende undervisning eller instruktion af medarbejdere Systemmæssige fejl Utilstrækkelig sikkerhed i IT-systemer, f.eks. ikke mulighed for at slette effektivt, manglende kryptering, utilstrækkelig adgangskontrol, for bred adgang til oplysninger etc. 20
Indbygget databeskyttelse - data protection by design and by default Tænke databeskyttelse ind i IT-systemer og arbejdsgange, jf. art. 25 Træffe de fornødne tekniske og organisatoriske foranstaltninger under hensyntagen til: Den teknologiske udvikling Omkostningerne Arten, omfanget, kontekst og formålet med behandlingen Risikoen ved behandlingen Eksempel: Brug af pseudonymisering 21
Krav til databehandleren og databehandleraftalen Krav til databehandleren Krav til databehandleren Krav til databehandleraftalen Krav til databehandleraftalen Udelukkende brug af databehandlere, der kan stille de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandling opfylder kravene i denne forordning og sikrer beskyttelse af den registreredes rettigheder. Ingen adgang til brug af underdatabehandlere uden forudgående specifik eller generel skriftligt godkendelse fra den dataansvarlige. Mulighed for indsigelse ved ændringer. Kontrakt eller et andet retligt dokument, som fastsætter: Genstanden for behandling Varigheden af behandlingen Behandlingens karakter og formål Typen af personoplysninger kategorierne af registrerede den dataansvarliges forpligtelser og rettigheder Krav om instruks Fortrolighed/tavshedspligt Krav om behandlingssikkerhed (art. 32) Krav om bistand (Art. 32-36) Krav om sletning og tilbagelevering af data Krav om løbende bistand ifm. dokumentation og inspektion Artikel 28, stk. 1 Artikel 28, stk. 2 Artikel 28, stk. 2 Artikel 28, stk. 2 22
Databeskyttelsesrådgiver (Data Protection Officer ( DPO )) Hvem skal have en DPO? (art. 37) Offentlige myndigheder Visse virksomheder Status (art. 38) Beskyttet rolle kan ikke afskediges eller straffes for udførelsen af sine opgaver Uafhængig. Må ikke instrueres vedrørende udførelse af sine opgaver Refererer direkte til øverste ledelse Må gerne varetage andre opgaver, men der må ikke være interessekonflikt DPO ens opgaver (art. 39) Har ansvaret for at informere og rådgive om forpligtelser og at overvåge, at de overholdes Skal være kontaktperson for og samarbejde med Datatilsynet 23
DPO en kan være: En ansat ved myndigheden Fælles for flere myndigheder under hensyntagen til størrelsen og strukturen, jf. art. 37, stk. 3 Ekstern Skal udpeges på baggrund af professionelle kvalifikationer, ekspertise inden for databeskyttelseslovgivning og -praksis 24
Hvad gør man, når det går galt? Kilde: informationisbeautiful.net 25
Anmeldelse af sikkerhedsbrud (art. 33) Anmeldelsespligt til tilsynsmyndigheden inden 72 timer, medmindre det er usandsynligt, at bruddet indebærer en risiko. Den dataansvarlige skal dokumentere sikkerhedsbrud, herunder de faktiske omstændigheder, virkningerne heraf og trufne afhjælpende foranstaltninger. Vigtigt at man som dataansvarlig har faste procedurer for håndtering af sikkerhedsbrud. Indholdsmæssige krav til anmeldelsen Beskrivelse af karakteren af bruddet, herunder kategorierne og antallet af berørte datasubjekter samt kategorierne og antallet af berørte registreringer Angivelse af navn og kontaktoplysninger for DPO en eller et andet kontaktpunkt, Beskrivelse af sandsynlige konsekvenserne af bruddet på persondatasikkerheden Beskrivelse af de foranstaltninger, som den dataansvarlige foreslår eller har iværksat for at afhjælpe bruddet på persondatasikkerheden 26
Underretning om sikkerhedsbrud (art. 34) Pligt til uden unødig forsinkelse at underrette datasubjekter om brud på sikkerheden, hvis bruddet sandsynligvis medfører en høj risiko for datasubjekternes rettigheder og frihedsrettigheder Underretning er ikke nødvendigt, hvis: der er gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger, som fx gør oplysningerne uforståelige, eller der er truffet efterfølgende foranstaltninger, som medfører at risikoen sandsynligvis ikke længere er reel, eller det vil kræve en uforholdsmæssig indsats. Her kan der i stedet foretages en offentlig meddelelse. Key takeaways Tænk sikkerhedshændelser ind i forholdet til leverandører allerede i anskaffelsesfasen. Udarbejd en procedure for håndtering af sikkerhedshændelser. Udarbejd en skabelon for notifikationer til tilsynet, så I er klar, hvis uheldet er ude. 27
Sanktioner bøder og erstatning Gradueret bødemodel efter overtrædelsestype Mulighed for bøder på op til 20.000.000 EUR, eller hvis der er tale om en virksomhed op til 4 % af den samlede årlig omsætning (hvad der er højest) Formildende omstændigheder Ikke adm. bøder i DK, da betænkeligheder i forhold til grundloven ( 3) eksplicit forbehold herom i forordningen, jf. art. 83, stk. 9 Bøder i DK bliver sædvanlige strafferetlige bøder som i dag Bøder for offentlige myndigheder? Mulighed for erstatning for immateriel skade, jf. art. 82 I dag: Persondatalovens 69 ikke-økonomisk skade + erstatningsansvarslovens 26 om tort Gruppesøgsmål 28
PAUSE 29
Hvad kan I gøre allerede nu for at overholde reglerne? 30
Datatilsynet d. 21. juni 2016 31
1. Skab awareness og kortlæg hvordan forordningen påvirker jer Compliance tager tid Hvordan påvirker forordningen jer? De relevante ressourcer interne og eksterne skal tilknyttes, og arbejdet skal forankres i ledelsen 32
2. Overvej, hvem der er ansvarlig for databeskyttelse i jeres organisation? Uddannelse og udpegning af DPO 33
3. Lav en dataflowanalyse få overblik over jeres personoplysninger Indhold Hvilke typer af personoplysninger behandles? (Ikke-følsomme/følsomme) Hvorfra indsamles oplysningerne? (Fra de studerende/lærerne/eksterne registre/andre myndigheder) Hvordan indsamles oplysningerne? Videregives oplysningerne og i så fald til hvem? Formålet/-ene med behandlingen? Hvor og hvordan oplysningerne er opbevaret og sikret? Hvornår og hvordan oplysningerne vil blive slettet? Dokumentér konklusionerne i en rapport Afsæt god tid til det al erfaring tilsiger, at det tager lang tid i praksis! Brug eksisterende dokumentation, f.eks. i eksisterende anmeldelser m.v. (Husk egne interne HR-oplysninger) 34
4. Hvordan indhenter I samtykke? Hvordan indhenter, opbevarer og dokumenterer I samtykke? Skal I foretage nogen ændringer i jeres rutiner? Kan I evt. bruge et andet behandlingsgrundlag? 35
5. Kortlæg jeres leverandører og gennemgå databehandleraftalerne Dataansvarlige skal udøve kontrol med databehandlere Stor risiko righoldig praksis fra DT Typiske leverandører er kontraktpartnere v. outsourcing, systemleverandører, hosting, herunder cloudleverandører, konsulenter etc. Husk også underdatabehandlere Gennemgå (under)databehandleraftalerne lever de op til den nye forordnings krav? Hvis ikke, så genforhandl dem, så der opnås compliance 36
6. Fastlæg rutiner for brud på persondatasikkerheden Sikkerhedsbrud er uundgåelige pga. enten systemmæssige eller menneskelige fejl, herunder hacking Kan I dokumentere alle brud på persondatasikkerheden? Kan I rapportere et sikkerhedsbrud til Datatilsynet inden for 72 timer? Fastlæg rutiner for at opdage, undersøge og rapportere sikkerhedsbrud Lav allerede nu skabeloner for rapporteringer til Datatilsynet 37
7. Tænk databeskyttelse ind i jeres IT-systemer og arbejdsgange Husk på privacy by design og by default, når I enten tager et nyt IT-system i brug eller ændrer et eksisterende Brug f.eks. privatlivsfremmende standardindstillinger Dataminimering Pseudonymisering 38
8. Sørg for den kontraktretlige understøttelse De nye krav i forordningen skal understøttes kontraktretligt i forbindelse med udbud/indkøb af f.eks. en ny IT-løsning eller ny kommunikationsløsning etc. 39
Spørgsmål? 40
Den persondataretlige grundpakke Overblik over, om ungdomsuddannelsesinstitutionen overholder reglerne En risikovurdering med oversigt over høj- og lavrisikoområder Forslag til konkrete løsninger, der sikrer compliance og er lette at implementere fremadrettet Processen Processen med udførelsen af den persondataretlige grundpakke vil typisk forløbe således: 1 2 Opstartsmøde 3 4 Kammeradvokaten indhenter relevante oplysninger Kammeradvokaten sender udkast til rapport Udkastet drøftes og færdiggøres med anbefalinger/implementeringsplan Implementeringsplan 5 Kammeradvokaten bistår med implementering Prisen 35.000,- ex moms og eventuelle rejseomkostninger Specialister i Danmark 41
DPO-uddannelse: Et samarbejde mellem Kammeradvokaten og Implement 42
Toleddet DPO-uddannelse 43
Hold dig opdateret på persondataretsområdet Tilmeld dig via LinkedIn 44
Tak for i dag Niels Banke Advokat (H), partner Telefon: 25 43 03 07 Mail: ban@kammeradvokaten.dk Martin Sønnersgaard Advokat Telefon: 5077 8423 Mail: mso@kammeradvokaten.dk 45