Overblik over persondataforordningen

Relaterede dokumenter
Overblik over persondataforordningen

Den nye persondataforordning. 17. maj 2016

Den nye persondataforordning. 2. februar 2017

Databehandleraftaler. Ved partner Thomas Munk Rasmussen, Bech-Bruun

Persondata, compliance og datasikkerhed. Ved Charlotte Bagger Tranberg

Den nye persondataforordning. Advokat Marie Albæk Jacobsen DEIC-konference, den 6. oktober 2015

Persondataforordningen

PERSONDATAFORORDNINGEN STATUS???? OG ER DER NOGET NYT I DEN?

Persondataretlig compliance i praksis. Uddannelsesdagen 28. maj 2015 v/ partner Thomas Munk Rasmussen og partner Mikkel Friis Rossa

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

Introduktion til persondataforordning

Persondataforordningen. Henrik Aslund Pedersen Partner

Standardvilkår. Databehandleraftale

Den nye persondataforordning. Hvordan kommer du i gang?

Persondataforordningen AbMano

Personoplysninger. Jens Hørlück

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Thea Præstmark WW W W W.SKA W UR.SKA EIP UR UR EIP TH UR. TH C. OM C

Persondata og sikkerhedsbrud

Det skal du have styr pa inden 2018

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

September Indledning

Beskyttelse af apps. Mikkel Friis Rossa, partner

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Workshop om persondataforordningen

Hvad betyder den nye persondataforordning for udvikling og brug af digitale sundhedsløsninger, og hvem har ansvaret for overholdelse?

Databehandleraftale

Marts 2017 Advokat Pernille Nyholm Gaarskjær, Bech-Bruun

Rollen som DPO. September 2016

Europaudvalget EUU Alm.del EU Note 27 Offentligt

PERSONDATAFORORDNINGEN. DRF s årsmøde, april 2017

Surftown A/S. Regionsgolf-Danmark DATABEHANDLERAFTALE. Databehandleraftalen foreligger mellem. Regionsgolf-Danmark.

N. Zahles Skole Persondatapolitik

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

DATABEHANDLERAFTALE

Ecofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager

Persondataforordningen...den nye erklæringsstandard

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Vi har udarbejdet en særlig fortegnelse over vores databehandlingsaktiviteter. Denne fortegnelse indeholder:

EU Persondataforordning GDPR

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Persondataforordningen

PERSONDATAPOLITIK 1. INTRODUKTION

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

Behandling af personoplysninger

opfylde vores kontraktuelle forpligtelser over for dig, samt at

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

Aftale vedrørende fælles dataansvar

BILAG 14: DATABEHANDLERAFTALE

Databehandleraftale (v.1.1)

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

Ny Persondataforordning mv.

Introduktion til persondataforordningen PSF temadag d , lektor Dorthe Høilund, Metropol

Konsekvensanalyse vedrørende databeskyttelse

Bilag 1 Databehandler aftale (v.1.2)

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

Persondataforordningen og offentlige organisationer

Persondataforordning din dig din

PERSONDATAPOLITIK 1. INTRODUKTION

DATABEHANDLERAFTALE. Conscia A/S. Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf

Behandling af personoplysninger

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

GML-HR A/S CVR-nr.:

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

Tjekliste til arbejde med persondata. Branchefælleskab for Intelligent Energi

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Behandling af personoplysninger

Forberedelser til implementering af EU forordningen om beskyttelse af personoplysninger

HAR DIN VIRKSOMHED STYR PÅ GDPR? v/ Advokat Henrik Mansfeldt Witt & Advokatfuldmægtig Majbritt Alemany

3 Omfattede typer af personoplysninger og kategorier af registrerede

Fællesmøde for flis- og brændselspillegruppen samt halmgruppen

Information om PenSam s behandling af ansøgeres personoplysninger mv.

Skau Reipurth & Partnere Advokatpartnerselskab FORTEGNELSE OVER BEHANDLINGSAKTIVITER. Dataansvarlig: Databehandler: Udarbejdet: Næste revision:

Persondatapolitik for Tørring Gymnasium 2018

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Data Protection Officer (DPO): DPO-krav og outsourcing af DPO-rollen

FORSYNINGSTRÆF 2016 PERSONDATARET HVORFOR NU EGENTLIG DET?

Er du klar til den nye Persondataforordning?

Persondatacompliance

Grab n Go: Session 2 EU s persondataforordning og hvad så?!? 17. marts 2016

HJULMANDKAPTAIN PERSONDATA REGLER OG IMPLEMENTERING. OPLÆG TIL DANSKE BUSVOGMÆND DEN 29. NOVEMBER 2017 Advokat Karina Søndergaard

Per Løkken, Partner. CAMPUS November 2018

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

EN DAG OM PERSONDATAFORORDNINGEN. STU Foreningen. 7. december 2017

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

INTERN HR PERSONDATAPOLITIK FOR LIONS MD106. Nærværende gælder for MD 106, dvs. alle ansatte og medlemmer i Lions MD 106.

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

PERSONDATALOVEN - UDFORDRINGER. Birthe Boisen, Juridisk Konsulent Tlf

Procedure for håndtering af personoplysninger - GDPR Denne udgave: /TW

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

DATABEHANDLERAFTALE Version 1.1a

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Persondatabeskyttelsespolitik for REFA

Transkript:

Overblik over persondataforordningen København, den 26. maj 2016 2 Agenda Hvad er personoplysninger? Status på persondataforordningen Væsentligste ændringer: Oplysningskategorier Behandlingsbestemmelser Skærpede krav til samtykke Right to be forgotten/dataportabilitet Accountability dokumentationskrav Data Protection Impact Assessment Data protection by design/default/pseudonymisering Krav til databehandlere selvstændige krav til dokumentation mv. Krav til databehandleraftalens indhold Notifikationspligt Data Protection Officer (DPO) Sanktioner 1

Hvad er personoplysninger? Anonyme oplysninger Pseudonyme oplysninger Cpr-nr. Køn Navn Race Adresse E-mail-adresse Seksuel overbevisning Fødselsdato Foto Kreditkortnummer Adgangskontrol Helbredsoplysninger MedarbejderID Telefonnummer Personlighedstest Nummerplade Politisk overbevisning Religion Genetisk information? Interesser Væsentlige sociale problemer Personlige produktionstal Familiemæssige oplysninger Uddannelse (karakterer) Pasnr. Initialer/Loginnavn Stilling GPSoplysninger Størrelse på tøj og sko IP-adresse Fagforeningsmæssige tilhørsforhold Rejseoplysninger Elektroniske spor Biometriske oplysninger Videoovervågning Logning i IT-systemer Straffeattest MAC-adresse Løn 4 Status på processen mod forordningens ikrafttrædelse Hvad ligger fast? Teksten i forordningen En dansk version af forordningsteksten Den endelige vedtagelse ikrafttrædelse den 25. maj 2018 Udestående Hvad vælger Danmark (og de andre medlemsstater) at gøre på områder, hvor medlemsstaterne har frihedsgrader? Hvornår begynder Kommissionen at vedtage delegerede retsakter? Hvornår begynder de relevante organer (herunder de store tilsynsmyndigheder) at komme med fortolkningsbidrag? 2

Oplysningskategorier Almindelige oplysninger Semi-følsomme oplysninger Følsomme oplysninger Cpr-nr. Persondataloven Fx Personnavn Adresse E-mail Oplysninger om strafbare forhold Sociale problemer Andre rent private forhold end følsomme oplysninger Racemæssig eller etnisk baggrund Politisk, religiøs eller filosofisk overbevisning Fagforeningsmæssige tilhørsforhold Oplysninger om helbredsmæssige eller seksuelle forhold Offentlige myndigheder: Mhp. entydig identifikation/journalnummer Private virksomheder: Lovbestemmelse/samtykke Aldrig offentliggørelse uden samtykke Persondataforordningen Også Oplysninger om strafbare forhold * Sociale problemer Andre rent private forhold end følsomme oplysninger Racemæssig eller etnisk baggrund Politisk, religiøs eller filosofisk overbevisning Fagforeningsmæssige tilhørsforhold Behandling af generiske eller biometriske data med henblik på unik identifikation Oplysninger om helbredsmæssige eller seksuelle forhold Medlemsstater kan fastsætte specielle betingelser, dog krav om tilstrækkelige sikkerhedsforanstaltninger 6 Behandlingsbestemmelser Regler stort set identiske med reglerne i persondataloven (-direktivet), dog Medlemslande kan opretholde og vedtage særlovgivning vedr. behandling nødvendig for: overholdelse af retlig forpligtelse udførelsen af en opgave i samfundets interesse udførelsen af en opgave, der henhører under offentlig myndighedsudøvelse pålagt den dataansvarlige Behandling til nye formål (ikke samtykke eller lovgivning både EU og medlemsstat) dataansvarlig skal sikre forenelighed med det oprindelige indsamlingsformål, herunder Sammenhæng mellem formål Den kontekst som oplysningerne er indsamlet i Personoplysningernes natur Konsekvenserne af den påtænkte videre behandling Eksistensen af egnede sikkerhedsforanstaltninger Behandling til interne administrative formål i en koncern på baggrund af en legitim interesse 3

7 Skærpede krav til samtykke Samtykke som behandlingsgrundlag: Almindelige oplysninger: Samtykke Følsomme oplysninger: Udtrykkeligt samtykke En dataansvarlig skal altid kunne dokumentere at have modtaget den registreredes samtykke til behandling af personoplysninger Samtykke kan ikke udgøre lovligt behandlingsgrundlag, hvis der er en klar ubalance mellem den registrerede og den dataansvarlige Vurdering af, om et samtykke er frivilligt: Samtykke som betingelse for tillægsydelser, der ikke er nødvendige i forhold til en kontrakt? Det skal være lige så let at trække et samtykke tilbage som at afgive det Hvis samtykke indhentes igennem en skriftlig erklæring med anden information fx en ansættelseskontrakt eller en privacy policy skal samtykkeanmodningen adskilles tydeligt fra øvrigt indhold I forbindelse med børns (< 16 år) aktiviteter på sociale medier skal samtykke indhentes hos den, der har forældremyndigheden (medlemsstat kan vælge at nedsætte grænsen til 13 år) 8 Right to be forgotten/dataportabilitet Ret til sletning Oplysningerne er ikke længere nødvendige i forhold til formålet med indsamling og behandling, bl.a. Tilbagekaldelse af samtykke eller manglende retligt grundlag Den registrerede modsætter sig behandlingen og ingen tungtvejende legitime grunde til fortsat behandling Informationssamfundstjenester rettet mod børn (under 16 år eller ned til 13 år) Dataportabilitet Registrerede ret til at få personoplysninger givet til en dataansvarlig i et struktureret, almindeligt brugt og maskinlæsbart format Almindelige oplysninger: Samtykke eller aftale Følsomme oplysninger: Udtrykkeligt samtykke Behandlingen udføres via elektronisk databehandling 4

Accountability dokumentationskrav Den dataansvarlige skal kunne dokumentere compliance med forordningen Både dataansvarlige (og databehandlere) skal opbevare dokumentation for enhver behandling af personoplysninger (gælder ikke for virksomheder med under 250 ansatte) Dokumentationen skal mindst omfatte: Navn og kontaktoplysninger på den dataansvarlige eller den fælles dataansvarlige og dennes eventuelle repræsentant samt evt. DPO Formålene med behandlingen Beskrivelse af kategorier af registrerede og kategorier af personoplysninger Kategorier af modtagere af personoplysningerne Evt. overførsel af personoplysninger til et tredjeland, herunder identifikation af dette tredjeland, og dokumentation af fornødne garantier ved overførsel til ikke-sikre tredjelande En generel angivelse af tidsfristerne for sletning af de forskellige kategorier af personoplysninger Hvis muligt, en beskrivelse de tekniske og organisatoriske sikkerhedsforanstaltninger 10 Data Protection Impact Assessment Konsekvensanalyse Behandlinger af personoplysninger der indebærer specifikke risici for registreredes rettigheder og frihedsrettigheder i medfør af dens karakter, omfang eller formål (både dataansvarlig og databehandler) Profilering Behandling af helbredsoplysninger mhp. at træffe foranstaltninger eller beslutninger vedr. bestemte grupper Overvågning af offentligt tilgængelige områder, navnlig ved omfattende brug af videoovervågning Minimumskrav til DPIA Generel beskrivelse af den planlagte behandling, Analyse af risiciene for registreredes rettigheder og frihedsrettigheder De foranstaltninger, der er nødvendige for at afhjælpe disse risici, samt Garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelsen af personoplysninger og påvise overensstemmelse med persondataforordningen 5

11 Data protection by design/by default og pseudonymisering Indbygget databeskyttelse Iværksættes under hensyntagen til det aktuelle tekniske niveau og omkostningerne i forbindelse med gennemførelsen Både ved fastlæggelse af metoderne til behandling og når selve behandlingen foretages iværksættes tekniske og organisatoriske foranstaltninger og procedurer, fx pseudonymisering, så behandlingen opfylder kravene i forordningen og sikrer beskyttelsen af registreredes rettigheder Databeskyttelse gennem indstillinger Gennemførelse af mekanismer med henblik på, som udgangspunkt, at sikre at der kun behandles nødvendige personoplysninger i forhold til behandlingsformålet at der kun sker nødvendig indsamling og opbevaring i forhold til behandlingsformål (både mængde, omfang og periode) Mekanismer sikrer navnlig, at personoplysninger som udgangspunkt ikke stilles til rådighed for et ubegrænset antal personer uden registreredes vidende Pseudonymisering: Behandling af personoplysninger på en sådan måde, at det ikke er muligt at knytte oplysninger til registrerede uden brug af yderligere information (skal opbevares adskilt fra de pseudonymiserede oplysninger og underlægges tilstrækkelige sikkerhedsforanstaltninger) 12 Krav til databehandlere selvstændige krav til dokumentation mv. Databehandlere underlagt langt strengere krav end efter persondataloven, bl.a. Næsten identiske dokumentationskrav som dataansvarlige Den dataansvarlige skal kun bruge databehandlere, der giver tilstrækkelige garantier vedr. implementering af passende tekniske og organisatoriske foranstaltninger, så behandlingen sker i overensstemmelse med forordningens krav og sikrer beskyttelse af registreredes rettigheder Databehandlerens ansvar ift. databehandleraftaler Indhentelse af den dataansvarliges samtykke ved overladelse af oplysninger til andre/nye underdatabehandlere Underdatabehandleraftaler Sikring af, at underdatabehandlere opfylder deres forpligtelser Indgåelse af databehandleraftaler stadig den dataansvarliges ansvar 6

13 Krav til databehandleraftalens indhold Behandlingens varighed Formålet med behandlingen Typer af data der behandles Kategorier af registrerede Databehandlerens pligter og rettigheder, navnlig at databehandlere skal: alene behandle data efter den dataansvarliges dokumenterede instruks sikre at medarbejdere, der behandler data, er underlagt en fortrolighedsforpligtelse efterkomme alle lovpligtige sikkerhedsforanstaltninger overholde krav vedrørende anvendelse af andre databehandlere i muligt omfang bistå den dataansvarlige med at behandle begæringer, udarbejde DPIA, underretning af tilsynsmyndigheden ved sikkerhedsbrud mv. være i stand til over for den dataansvarlige at fremvise alt nødvendig information for at dokumentere compliance med reglerne i forordningen 14 Notifikationspligt Brud på persondatasikkerheden": Brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet udbredelse af eller adgang til personoplysninger, der er videregivet, lagret eller på anden måde behandlet Ved sikkerhedsbrud: Anmeldelse af brud til tilsynsmyndighed inden 72 timer U: usandsynligt at bruddet medfører en risiko for personers rettigheder eller frihedsrettigheder Indholdskrav til anmeldelse: Beskrivelse af karakteren af bruddet på persondatasikkerheden, herunder kategorierne og antallet af berørte registrerede samt kategorierne og antallet af berørte registreringer Angivelse af identitet og kontaktoplysninger for DPO en eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes Anbefaling af foranstaltninger, der kan afhjælpe de mulige skadevirkninger af bruddet på persondatasikkerheden Beskrivelse af konsekvenserne af bruddet på persondatasikkerheden Beskrivelse af de foranstaltninger, som den dataansvarlige foreslår eller har iværksat for at afhjælpe bruddet på persondatasikkerheden Når et sikkerhedsbrud indebærer en høj risiko for registreredes rettigheder og friheder, skal den pågældende underrettes uden ugrundet ophold (ikke ubetinget notifikationspligt) Databehandleren skal underrette den dataansvarlige uden ugrundet ophold 7

15 Data Protection Officer (DPO) Hvilke organisationer (både dataansvarlige og databehandlere) skal have en DPO? Offentlige myndigheder Private virksomheder, hvis kerneaktivitet består af omfattende databehandling, som kræver regelmæssig og systematisk monitorering Private virksomheder, hvis kerneaktivitet består af en omfattende behandling af følsomme personoplysninger Øvrige organisationer kan udpege DPO medlemsstaterne kan lave særregler Alle organisationer bør forankre arbejdet med persondata hos en DPO/databeskyttelsesansvarlig Koncern kan udpege én fælles DPO Udpegning på grundlag af faglige kvalifikationer og ekspertise inden for persondatalovgivning og -praksis 16 Data Protection Officer (DPO) Opgaver (minimumskrav): Underretning og rådgivning af dataansvarlig /databehandler om forpligtelser i henhold til forordningen Overvåge gennemførelsen og anvendelsen af den dataransvarliges/databehandlerens regler om beskyttelse af personoplysninger både fra EU og nationalt, herunder uddanne medarbejdere Kontrollere den dataansvarliges/databehandlerens gennemførelse af PIA og anvendelsen af forudgående godkendelse eller høring af tilsynsmyndigheden i de situationer, hvor der er krav om dette Samarbejde med og være kontaktpunkt for de relevante tilsynsmyndigheder Dataansvarlig/databehandler sikrer, at DPO en inddrages i alle spørgsmål vedr. beskyttelsen af personoplysninger Refererer direkte til øverste ledelse (karakter af stabsfunktion) Kan ikke afskediges eller straffes for udførelse af sine opgaver, men ikke en egentlig beskyttet stilling 8

17 Sanktioner Overtrædelsestype: Indhentning af samtykke ift. børn Behandlinger, som ikke kræver identifikation Data protection by Design/Default Delt dataansvar Repræsentanter for dataansvarlige etableret udenfor EU Databehandlere Databehandlerinstruks Dokumentation for datastrømme Samarbejde med tilsynsmyndigheden Sikkerhedsforanstaltninger Notifikation Data Protection Impact Assessment Forudgående underretning af tilsynsmyndighed Udpegning af DPO (herunder krav, stilling og opgaver) Certificering Offentlige myndigheder** Bødeniveau*: Private virksomheder Op til EUR 10.000.000 Op til EUR 10.000.000 eller 2 % af virksomhedens årlige globale omsætning (den højeste af de to) * Danmark har særregler, så bøder bliver strafferetlige i stedet for administrative ** Medlemsstaterne kan selv beslutte om og i hvilken udstrækning administrative bøder kan pålægges offentlige myndigheder 18 Sanktioner Overtrædelsestype: Grundlæggende principper for behandling Grundlag for behandling (både almindelige og følsomme oplysninger) Betingelser for samtykke Registreredes rettigheder Sikkerhedsforanstaltninger Offentlige myndigheder** Bødeniveau*: Private virksomheder Op til EUR 20.000.000 Op til EUR 20.000.000 eller 4 % af virksomhedens årlige globale omsætning (den højeste af de to) * Danmark har særregler, så bøder bliver strafferetlige i stedet for administrative ** Medlemsstaterne kan selv beslutte om og i hvilken udstrækning administrative bøder kan pålægges offentlige myndigheder 9

19 Kontakt Thomas Munk Rasmussen Susanne Stougaard Partner København Advokat København IP & Technology IP & Technology T +45 72 27 33 55 M +45 25 26 33 55 E tmr@bechbruun.com T +45 72 27 33 08 M +45 25 26 33 08 E sus@bechbruun.com København Danmark Aarhus Danmark Shanghai Kina T +45 72 27 00 00 www.bechbruun.com 10

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback