Den nye persondataforordning. Advokat Marie Albæk Jacobsen DEIC-konference, den 6. oktober 2015

Relaterede dokumenter
Persondataretlig compliance i praksis. Uddannelsesdagen 28. maj 2015 v/ partner Thomas Munk Rasmussen og partner Mikkel Friis Rossa

Databehandleraftaler. Ved partner Thomas Munk Rasmussen, Bech-Bruun

Overblik over persondataforordningen

Den nye persondataforordning. 17. maj 2016

Persondata, compliance og datasikkerhed. Ved Charlotte Bagger Tranberg

Den nye persondataforordning. 2. februar 2017

Overblik over persondataforordningen

Beskyttelse af apps. Mikkel Friis Rossa, partner

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Hvorfor er informationssikkerhed et ledelsesansvar?

EU-FORORDNING OM PERSONDATA I UDKAST

Persondataforordningen

Persondatacompliance

PERSONDATAFORORDNINGEN. DRF s årsmøde, april 2017

Ny persondataforordning

Persondataforordningen. Henrik Aslund Pedersen Partner

Persondataforordningen og offentlige organisationer

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

Introduktion til persondataforordning

Persondataforordningen...den nye erklæringsstandard

Grab n Go: Session 2 EU s persondataforordning og hvad så?!? 17. marts 2016

Marts 2017 Advokat Pernille Nyholm Gaarskjær, Bech-Bruun

D A T A B E H A N D L E R A F T A L E

Birgitte Toxværd Bruun & Hjejle

Er I klar til den nye persondataforordning?

7. NOVEMBER Side 1. Udbud og persondata. Advokat Jesper Nørøxe samt advokat Rasmus Holm Hansen

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Ny persondataforordning

Tjekliste til arbejde med persondata. Branchefælleskab for Intelligent Energi

Skau Reipurth & Partnere Advokatpartnerselskab FORTEGNELSE OVER BEHANDLINGSAKTIVITER. Dataansvarlig: Databehandler: Udarbejdet: Næste revision:

Thea Præstmark, Sofie Amalie Bangsbo van Hauen og Bo Enevold Uhrenfeldt

Det skal du have styr pa inden 2018

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner


PERSONDATAKONFERENCEN - FORORDNINGENS DOKUMENTATIONSKRAV. Advokat Pia Kirstine Voldmester

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Retningslinje om fortegnelser over behandlingsaktiviteter

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Driftskontrakt. Databehandleraftale. Bilag 14

EU Persondataforordningen, skærpet krav til sikkerheden om data

September Indledning

Brud på datasikkerheden

Data Protection Officer (DPO): DPO-krav og outsourcing af DPO-rollen

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Plesner Certifikat i Persondataret

GDPR Persondata- forordningen

Transkript:

Den nye persondataforordning Advokat Marie Albæk Jacobsen DEIC-konference, den 6. oktober 2015

2 Den kommende forordning Kommissionens forslag til en persondataforordning, KOM(2012)11 af 25. januar 2012 Form å l En sarte t re gu le rin g i EU Færre administrative byrder for virksomhederne Form Forordning vs direktiv Mu ligh ed for n ation al re gu le ring? Status Oprindeligt Q2 2014 Nu Q4 2015/Q1 2016 2-årig implementeringsperiode

Hvad er personoplysninger? Cpr-nr. Køn Navn Race Adresse E-mail-adresse Seksuel overbevisning Fødselsdato Foto Kreditkortnummer Adgangskontrol Helbredsoplysninger Nummerplade Genetisk information Interesser Familiemæssige oplysninger MedarbejderID Telefonnummer Personlighedstest Politisk overbevisning Religion? Væsentlige sociale problemer Personlige produktionstal Uddannelse (karakterer) Pasnr. GPS-oplysninger IP-adresse Elektroniske spor Videoovervågning Initialer/Loginnavn Stilling Fagforeningsmæssige tilhørsforhold Biometriske oplysninger Straffeattest Logning i IT-systemer Størrelse på tøj og sko Rejseoplysninger Løn

Oplysningskategorier 4

5 Den kommende forordning Systematik svarer nogenlunde til persondataloven Generelle databehandlingsprincipper gælder fortsat Sa glighe d, proportiona lite t, sle tning, m v. Behandlingshjemmel (hvornår må man behandle personoplysninger) er mere eller mindre de samme: Sam tykke Sker som led i opfyldelse af aftale Interesseafvejning (det offentlige?)

6 Væsentlige ændringer Væsentligste ændringer: Øgede dokumentationskrav Privacy Im p a ct Assessment (konsekvensanalyse) Data protection by design/data protection by default Krav om udpegning af DPO Notifika tion sforpligte lse Databehandleren får selvstændige forpligtelser Sanktioner skærpes

7 Øgede dokumentationskrav Dokumentation af datastrømme Kortlæ gn in g af d ata flows Typer af data Formål Internt vs eksternt Grundlaget for overførsler Databehandleraftaler Tredjelandsoverførsler EU Mo d e l Cla u se s Binding Corporate Ru le s Interne procedurer Indsigtsanmodninger, mv.

8 Privacy Impact Assessment Privacy Im p a ct Assessment skal udarbejdes, hvis behandlingen af personoplysninger in volve re r store risici i relation til datasubjektets rettigheder og friheder, fx: Behandling af oplysninger om mere end 5000 personer årligt Systematiske profileringsaktiviteter Behandling af følsomme oplysninger Omfattende videoovervågning af offentlige arealer Behandling af oplysninger om børn, biometriske data, genetisk data i omfattende systemer Indhold Beskrivelse af behandlingsaktiviteterne Risici i re lation til d atasub je kte t Beskrivelse af sikkerhedsforanstaltninger

9 Data protection by design/by default Krav til implementering af passende tekniske og organisatoriske foranstaltninger og procedurer til sikring af, at forordningen overholdes Systemer skal understøtte beskyttelse af privatlivets fred fx at oplysninger ikke behandles til andre formål eller længere end nødvendigt Fx at oplysninger ikke er tilgængelige for et ubegrænset antal personer

10 Data Protection Officer Der skal udpeges en DPO: i virksomheder/organisationer med mere end 250 ansatte ELLER hvis der behandles oplysninger om mere end 5000 datasubjekter i en sammenhængende periode på 12 måneder Krav til DP O e n DP O e n skal være en uafhængig person, der rapporterer direkte til ledelsen hos den dataansvarlige eller databehandleren DP O e n skal have ekspertise på området for databeskyttelseslovgivning og pra ksis DP O e n skal udpeges for en periode på mindst to år

11 Notifikationspligt Til Datatilsynet: without undue d e lay og som udgangspunkt inden for 24/72 tim e r Hvad er der sket, kategorier og antal Anbefalede foranstaltninger til afhjælpning skadevirkninger Be skrive lse af konsekvenser af bruddet Be skrive lse af foreslåede e lle r iværksatte foranstaltninger ifm. bruddet Til datasubjektet: without undue d e lay e fte r m e d d e le lse n til d atatilsyn e t, h vis risiko for at sikkerhedsbruddet vil påvirke beskyttelsen af datasubjektets personoplysninger, eller rettigheder/friheder berøves

12 Databehandler Databehandleren pålægges selvstændige forp ligte lse r, herunder: Dokumentation for enhver behandling af personoplysninger i virksomheden (datastrømsanalyse) Intern og ekstern persondatapolitik DPO Indretning af systemer og tekniske hjælpemidler samt kontrol heraf (audits) Brug af underdatabehandlere Databehandleraftale Procedure, der sikrer at ej underdatabehandlere uden den dataansvarliges instruks Proces for håndtering af underretning af de dataansvarlige i forbindelse med sikkerhedsbrud

13 Sanktioner Bøde op til 2% (5%) af den globale omsætning eller op til 1 mio. EUR Overtrædelsestype: In ge n fastlæggelse af ordninger for registreredes anmodninger Ej rettidig besvarelse heraf Ikke giver relevante oplysninger ved indsigtsanmodning Ikke sletter oplysninger Manglende ajourføring af dokumentation Behandler oplysninger uden hjemmel Ikke respekterer en indsigelse Ikke varsler tilsynet om brud på sikkerheden Ikke gennemfører konsekvensanalyser Ikke udpeger en DPO Overfører oplysninger til tredjelande uden hjemmel Bødeniveau: Op til 0,5% af den årlige globale omsætning/ 250.000 EUR Op til 1% a f de n å rlige globa le om sæ tning/ 500.000 EUR Op til 2% a f de n å rlige globa le om sæ tning/ 1 m io. EUR

Hvordan bør man forberede sig? Ove rb lik ove r d atastrøm m e i virksom h e de n /organisation en (vigtigt!) Overblik over databehandleraftaler Overvejelser omkring udpegning af DPO Mulighed for at afprøve kommende krav, fx Privacy Im p a ct Assessment Ledelsesforankring! Persondataretlig Pre-audit /Com p liance Proje kt

15 Kontakt Marie Albæk Jacobsen Advokat Aarhus Intellectual Property & Technology T +45 72 27 33 49 M +45 25 26 33 49 E maja@bechbruun.com København Danmark Aarhus Danmark Shanghai Kina T +45 72 27 00 00 www.bechbruun.com

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback