DEN KOMMENDE EU-FORORDNING Aarhus, 5. april 2016 Daiga Grunte-Sonne, advokat SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK 62 60 67 11
DEN KOMMENDE EU-FORORDNING Januar 2012 Forslag fra Kommissionen Juli-December 2015 Trilog forhandlinger December 2015 Politisk enighed og udkast April/maj 2016 Forventet vedtagelse Maj/juni 2016 Den endelige ordlyd på alle EU sprog SIDE 2
DEN KOMMENDE FORORDNING Udformet som forordning og skal derfor ikke inkorporeres i national lovgivning -> vil gælde direkte Forventes at træde i kraft maj/juni 2018 (2 års ikrafttrædelsesfrist) UP: total harmonisering, hvor nationale regler kun kan vedtages i begrænset omfang - dog indbygget en fleksibilitet Denne forordning indeholder også en manøvremargen, så medlemsstaterne kan præcisere reglerne heri, herunder for behandling af følsomme oplysninger. Forordningen udelukker således ikke medlemsstatsret, der definerer omstændighederne i forbindelse med specifikke databehandlingssituationer... (betragtning 8) SIDE 3
ANVENDELSESOMRÅDE OG INTERNATIONALT SAMARBEJDE Udvidet anvendelsesområde Behandling af oplysninger i forbindelse med aktiviteter, der udøves af en dataansvarlig eller databehandler i EU Uanset om behandlingen finder sted inden for eller uden for EU Dataansvarlig eller databehandler uden for EU, som behandler data om de registrerede i EU med henblik på: Udbud af varer eller tjenesteydelser til de registrerede, uanset om disse udbydes mod betaling eller ej Overvågning af adfærd i EU skal have en repræsentant inden for EU One-stop shop hovedvirksomhed ledende datatilsyn Samarbejde mellem flere tilsynsmyndigheder inden for EU SIDE 4
BEHANDLINGSREGLERNE Lovlighed, rimelighed og gennemsigtighed Formålsbegrænsning Data minimization Rigtighed ajourføring Lagringsbegrænsning - storage limitation (slettepligt) Integritet og fortrolighed tilstrækkelig sikkerhed og beskyttelse mod ubemyndighed eller ulovlig behandling samt hændeligt tab mv. Ansvarlighed Den dataansvarlige er ansvarlig for og skal kunne påvise, at ovenstående overholdes SIDE 5
SAMTYKKE Udtrykkeligt og formålsbegrænset Samtykket må ikke være en betingelse til behandling af oplysninger, som ikke er nødvendige for f.eks. aftale med den registrerede Mister sin gyldighed, hvis ophør eller udvidelse af formål Tydelig adskillelse fra øvrig aftaletekst Skal være i letforståelig og lettilgængelig form Bokse, som er afkrydset på forhånd, må ikke bruges (betragtning 25) Skal oplyse den registrerede om, at samtykke kan tilbagekaldes Den dataansvarlige skal kunne godtgøre, at samtykke er givet SIDE 6
SÆRLIGE KATEGORIER AF OPLYSNINGER Følsomme oplysninger ( pt. 7) udvides med: Genetiske data - en fysisk persons genetiske karakteristika, som giver entydig information om personens fysiologi eller helbred, og som foreligger efter en analyse af en biologisk prøve Biometriske data - oplysninger, der som følge af specifik teknisk behandling om en fysisk persons fysiske, fysiologiske eller adfærdsmæssige karakteristika muliggør eller bekræfter entydig identifikation af vedkommende, f.eks. ansigtsbillede eller fingeraftryksoplysninger Særlige danske kategorier (pt. 8) udgår, medmindre bestemmelserne i persondataloven opretholdes SIDE 7
DEN REGISTREREDES RETTIGHEDER Krav om kortfattede, gennemsigtige og lettilgængelige regler for behandlingen af data og udøvelse af den registreredes rettigheder Krav om standardiserede informationspolitikker til behandling af indsigtsbegæringer Pligt til at gennemføre mekanismer, der sikrer overholdelse af slettefrister og/eller periodisk evaluering af nødvendigheden af fortsat opbevaring Ret til dataportabilitet Ret til modtage oplysninger om sig selv i et struktureret og almindeligt anvendt og maskinlæsbart format Får videresent oplysningerne fra en dataansvarlig til en anden Ret til sletning inkluderer pligt til aktivt at sikre sletning hos tredjeparter The right to be forgotten Google dom i 2014 ( )weighing the individual's right to privacy against the public's right to know, and deciding if the data is inadequate, irrelevant or no longer relevant, or excessive in relation to the purposes for which they were processed ( ) Oplysningerne skal blokeres, mens begæring om sletning behandles Ret til begrænsning af behandling SIDE 8
BRUG AF DATABEHANDLERE Der må kun bruges databehandlere, der giver tilstrækkelige garantier for passende tekniske og organisatoriske foranstaltninger, og at behandlingen opfylder forordningens krav Underdatabehandlere kun med forudgående samtykke (specifikt eller generelt) + samme forpligtelser skal underrette den dataansvarlige om ændringer, tilføjelser mv. give mulighed for indsigelser Hver databehandler skal føre dokumentation for alle kategorier af oplysninger, der behandles, herunder kategorier af behandling, oplysninger om videregivelse, brug af underdatabehandlere og en beskrivelse af sikkerhedsforanstaltninger - skriftligt SIDE 9
BRUG AF DATABEHANDLERE Skriftlig aftale, som fastsætter bl.a., at databehandleren: kun må behandle oplysningerne efter dokumenteret instruks fra den dataansvarlige, herunder også ift. videregivelse til 3-lande; sikrer, at dennes medarbejdere eller andre personer, der er bemyndiget til at behandle oplysningerne, har forpligtet sig til fortrolighed eller er underlagt tavshedspligt; iværksætter alle passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de aktuelle risici Under hensyn til det aktuelle tekniske niveau og gennemførselsomkostningerne samt behandlingens karakter, omfang, kontekst, formål mv. I nødvendigt omfang skal der ske pseydonymisering, kryptering, regelmæssig afprøvning, vurdering og evaluering af effektiviteten af foranstaltningerne skal efter den dataansvarliges valg slette eller tilbagelevere alle oplysninger og kopier heraf, når aftaleforholdet ophører (medmindre lovkrav at opbevare); stiller alle oplysninger til rådighed, der er nødvendige for at påvise opfyldelse af kravene til rådighed for den dataansvarlige og giver mulighed for inspektioner, revisioner mv. SIDE 10
DATABEHANDLERES ANSVAR Direct liability for violations Enhver databehandler hæfter for den skade, der er forvoldt af behandlingen, hvis pågældende ikke har opfyldt forpligtelser, der er rettet mod databehandlere, eller har undladt at følge eller handlet i strid med den dataansvarliges lovlige instrukser kan dog helt fritages for erstatningsansvar, hvis det bevises, at den pågældende ikke på nogen måde er skyld i den begivenhed, der medførte skaden Hvis mere end en databehandler eller en dataansvarlig og en databehandler er involveret i samme behandling solidarisk hæftelse for hele skaden SIDE 11
SIKKERHEDSBRUD Underretnings- og dokumentationspligt over for tilsynsmyndighederne ved ethvert sikkerhedsbrud 72 timers frist Hvis ikke muligt at opfylde dokumentationspligten inden for fristen hurtigst muligt + en begrundelse herfor Karakteren af bruddet skal beskrives, herunder kategorierne og antal berørte registrerede + registreringer Skal angive relevante kontaktoplysninger, hvor yderligere oplysninger om bruddet kan indhentes (f.eks. hos DPO) Skal beskrive de sandsynlige konsekvenser af bruddet De foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at afhjælpe bruddet, skal beskrives Underretningspligt over for den registrerede, hvis bruddet kan få konsekvenser for personen - uden unødig forsinkelse Krav om klart og letforståeligt sprog og skal oplyse om registreredes rettigheder, herunder klageadgangen SIDE 12
DATA PROTECTION OFFICER (DPO) Krav om DPO offentlige myndigheder virksomheder, hvis kerneaktivitet består af behandling, som kræver regelmæssig og systematisk overvågning af registrerede i stort omfang hvis kerneaktiviteten består af behandling i stort omfang af særlige kategorier af oplysninger og oplysninger vedr. straffedomme eller overtrædelser gælder både dataansvarlige og databehandlere Skal besidde relevante kompetencer/ekspertise Uafhængighed Ansat eller konsulent Ingen instruktionsbeføjelse/rapportere direkte til executive management En vis ansættelsesretlig beskyttelse Opgaver: skabe opmærksomhed, monitorere, være bindeled, sikre compliance SIDE 13
SANKTIONER Formålet øget og strengere sanktionering og håndhævelse Loft på EUR 20.000.000 eller 4% af den samlede globale årlige omsætning Fastlagt 2-trins trappeskala, afhængigt af overtrædelsen EUR 10.000.000 eller 2% - bl.a. underretning om sikkerhedsbrud og udpegelse af DPO EUR 20.000.000 eller 4% - bl.a. behandlingsregler, samtykke, den registreres rettigheder og tredjelandsoverførsler SIDE 14
SÆRLIGE FOKUSOMRÅDER Accountability Krav om implementering af passende procedurer, forholdsregler osv., Krav om compliance-politikker pligt til at opdatere Krav om træning af medarbejdere i persondatabeskyttelse Krav om vurdering af risici ifm. behandlingsaktiviteter (risikoanalyse) Konsekvensanalyse (Data Protection Impact Assessment) Krav herom, hvis bl.a. behandling af særlige kategorier af oplysninger brug af nye teknologier Bl.a. nødvendige foranstaltninger for at afhjælpe risici og garantier, sikkerhedsforanstaltninger og øvrige mekanismer, som kan sikre beskyttelsen Forudgående høring hos Datatilsynet, hvis konsekvensanalysen viser høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at mindske risikoen SIDE 15
PRIVACY BY DESIGN OG PRIVACY BY DEFAULT Privacy by design indbygget databeskyttelse Tekniske og organisatoriske foranstaltninger, som tilpasset til den pågældende behandlings karakter, omfang, kontekst, formål, risici af varierende sandsynlighed, alvor for fysiske personers rettigheder og frihedsrettigheder Under hensyn til det aktuelle tekniske niveau og gennemførselsomkostningerne F.eks. pseydonymisering og dataminimering Privacy by default databeskyttelse gennem indstillinger Tekniske og organisatoriske foranstaltninger med henblik på at sikre, at kun personoplysninger, der er nødvendige til hvert specifikt formål med behandlingen, behandles Indsamling, herunder omfanget, lagringsperiode og tilgængelighed SIDE 16
Daiga Grunte-Sonne Advokat, København +45 61 20 99 95 +45 387741 18 dso@kromannreumert.com SIDE 17