Er I klar til den nye persondataforordning?
Nye regler om persondata på vej I december 2015 blev der opnået enighed om en ny persondataforordning. Forordningen indeholder en række nye og ændrede regler for behandling af personoplysninger, og den vil erstatte persondatadirektivet, som i Danmark er gennemført i persondataloven. Forordningen vil blive endeligt vedtaget i foråret 2016 og træde i kraft 2 år efter vedtagelsen, dvs. forventeligt 2. kvartal 2018. Databeskyttelse er allerede i dag en udfordring for offentlige myndigheder. For eksempel fandt Rigsrevisionen i november 2014 væsentlige sikkerhedsmangler hos samtlige undersøgte statslige myndigheder ved behandlingen af personoplysninger. Dette fremgår af Rigsrevisionens Beretning til Statsrevisorerne om statens behandling af fortrolige oplysninger om personer og virksomheder fra november 2014. Samtidig ses der også talrige eksempler i medierne på datalæk og kritik af myndigheder fra Datatilsynet for overtrædelse af reglerne. Og udfordringerne bliver ikke mindre med den nye forordning. 3
Hvad er nyt? Blandt persondataforordningens væsentligste nyskabelser er følgende: 1 Øgede dokumentationskrav for overholdelse af forordningen, som bl.a. omfatter kortlægning af: Hvilke typer data der behandles Formålet med behandlingerne Kategorier af registrerede personer og modtagere af oplysninger Eventuelle videregivelser til usikre tredjelande Angivelse af tidsfrister for sletning af oplysninger Det betyder grundlæggende, at myndigheder nu skal kortlægge datastrømme i organisationen, dvs. hvad der sker med data fra de indsamles, til de slettes eller arkiveres. Dokumentationen skal til enhver tid efter anmodning stilles til rådighed for Datatilsynet. 2 Pligt til at udarbejde konsekvensanalyser (Privacy Impact Assessments), hvis behandlingen af personoplysninger indebærer høje risici for registreredes rettigheder og friheder. Kravet om konsekvensanalyse vil navnlig kunne aktualiseres, hvor der er tale om: Systematiske profileringsaktiviteter Behandling af følsomme oplysninger Omfattende videoovervågning af offentlige arealer 4
Det betyder grundlæggende, at myndigheder nu skal i gang med at identificere kritiske databehandlinger og herefter beskrive, hvilke foranstaltninger der træffes for at mindske sikkerhedsbrister ved disse behandlinger. Konsekvensanalysen skal som minimum indeholde: En beskrivelse af behandlingsaktiviteterne Analyse af risici for den registreredes rettigheder og friheder Beskrivelse af de sikkerhedsforanstaltninger som kan afhjælpe disse risici 3 4 5 Pligt til at lave indbygget databeskyttelse ( privacy by design og by default ), dvs. til at tænke databeskyttelse ind fra start ved udviklingen af nye IT-løsninger, services m.v. Udpegning af en databeskyttelsesansvarlig ( data protection officer / DPO ) bliver obligatorisk for alle offentlige myndigheder og visse private virksomheder. DPO en skal have en særlig viden om persondatabeskyttelse og bl.a. sikre, at forordningens regler overholdes i myndighedens/ virksomhedens daglige drift. Mulighed for indførelse af væsentligt højere bøder for overtrædelser af forordningen op til EUR 20.000.000 eller 4 % af årlig omsætning for virksomheder. De enkelte medlemsstater kan dog selv bestemme, om bøderne skal udstedes administrativt af Datatilsynet eller fastsættes af domstolene samt bødeniveauet. 5
Kammeradvokatens tiltag i anledning af den nye forordning Hos Kammeradvokaten oplever vi, at mange offentlige myndigheder og private virksomheder ønsker at forberede sig på de nye krav så tidligt som muligt. Det skyldes, at forordningens krav skal tænkes ind i tilrettelæggelsen af datahåndtering, sagsbehandling, organisering, kontrakter med leverandører samt i forhold til udvikling af nye digitale løsninger, hvilket tager tid. Kammeradvokaten tilbyder følgende ydelser som bistand til at imødekomme de nye krav: NYE KRAV Øgede dokumentationskrav >>>> KAMMERADVOKATEN TILBYDER Udarbejdelse af dataflowanalyser, dvs. en struktureret og overskuelig kortlægning af myndighedens behandling af personoplysninger, herunder i forhold til compliance i myndighedens HR-processer. Pligt til at udarbejde konsekvensanalyser ( Privacy Impact Assessments ) >>>> Bistand til gennemførelse af konsekvensanalyser, herunder identifikation af kritiske databehandlinger og beskrivelse af sikkerhedstiltag til afhjælpning. Pligt til at lave indbygget databeskyttelse >>>> Kontraktretlig understøttelse af nye IT-løsninger, herunder kortlægning af krav til kravspecifikation og bistand undervejs i hele udviklingsforløbet. Udpegning af en databeskyttelsesansvarlig ( privacy by design og default ) >>>> DPO-uddannelse for offentlige myndigheder og private virksomheder til efteråret 2016. 7
Produktet tilpasses myndigheden og behovet Produkterne skal skræddersys til den enkelte myndigheds behov, og de udarbejdes derfor i tæt samarbejde med myndigheden. Ud over at sikre overholdelse af forordningen, er produkterne gode ledelsesværktøjer. Ledelsen får for det første et godt overblik over, hvor og hvordan persondata behandles i organisationen. For det andet får ledelsen et andet overblik over, hvor organisationen er mest eksponeret for skade, hvis persondata ikke behandles korrekt. Processen tilrettelægges i samarbejde med myndigheden og kan f.eks. forløbe således: 1 Opstartsmøde 2 Kammeradvokaten indhenter oplysninger 3 Kammeradvokaten fremsender udkast til dokumentationseller konsekvensanalyseprodukt til myndigheden 4 Møde hvor udkastet drøftes, hvorefter produktet færdiggøres 5 Kammeradvokaten bistår med implementering 8
EN OVERSKRIFT? I december 2015 blev der opnået enighed om en ny persondataforordning. Forordningen indeholder en række nye og ændrede regler for behandling af personoplysninger, og den vil erstatte persondatadirektivet, som i Danmark er gennemført i persondataloven. Forordningen vil blive endeligt vedtaget i foråret 2016 og træde i kraft 2 år efter vedtagelsen, dvs. forventeligt 2. kvartal 2018. Databeskyttelse er allerede i dag en udfordring for offentlige myndigheder. For eksempel fandt Rigsre-visionen i november 2014 væsentlige sikkerhedsmangler hos samtlige undersøgte statslige myndigheder ved behandlingen af personoplysninger. Dette fremgår af Rigsrevisionens Beretning til Statsrevisorerne om statens behandling af fortrolige oplysninger om personer og virksomheder fra november 2014. Samtidig ses der også talrige eksempler i medierne på datalæk og kritik af myndigheder fra Datatilsynet for overtrædelse af reglerne. Og udfordringerne bliver ikke mindre med den nye forordning
Uddannelse og netværk Uddannelse for databeskyttelsesansvarlige Kammeradvokaten tilbyder en helt ny uddannelse for databeskyttelsesansvarlige (DPO) i regi af Kammerakademiet til efteråret 2016. Uddannelsen vil bl.a. sætte fokus på reglerne om behandlingssikkerhed, evne til at kortlægge behandling af personoplysninger (dataflowsanalyser) og dokumentere compliance med forordningen, udarbejdelse af konsekvensanalyser og meget andet. Med et gennemført uddannelsesforløb vil deltagerne være godt forberedt til opgaven som databeskyttelsesansvarlig i praksis. Sparring om de nye regler Del dine erfaringer og viden med andre og stil spørgsmål. Kammeradvokaten har oprettet en dedikeret LinkedIn-nyhedsgruppe Nyt om persondataret med løbende nyheder og debat, og som i tiden frem mod forordningens ikrafttræden bl.a. vil have fokus på forordningens nyskabelser. Se mere her: www.kammeradvokaten.dk/viden/faglige-linkedin-netvaerk/ 12
Få styr på de nye regler med opkvalificering og undervisning Konference om persondataforordningen For at klæde myndighederne bedst muligt på til den nye forordning, er Kammeradvokaten medarrangør af Skandinaviens største konference om forordningen. Her vil oplægsholdere fra bl.a. Kammeradvokaten og fra udlandet give solid indsigt i de nye regler. Konferencen finder sted den 27. og 28. april 2016. Se mere her: www.kammeradvokaten.dk/arrangementer/2016/4/konference-den-nye-persondataforordning. Kammeradvokatens arrangementer om forordningen Kammeradvokaten holder desuden en række arrangementer om den nye persondataforordning i foråret 2016 i regi af Kammerakademiet. Det gælder bl.a. flere arrangementer om Sikker digitalisering i kommunerne og gå-hjem-møder, der giver et overblik over de nye regler i forordningen med oplægsholdere fra Datatilsynet og Justitsministeriet. Se mere her: www.kammerakademiet.dk. 13
Kontakt os Jakob Kamby Partner, Advokat (L) Offentlig ret +45 7230 7465 jka@kammeradvokaten.dk Martin Sønnersgaard Advokat Offentlig ret +45 7230 7425 mso@kammeradvokaten.dk Marianne Søgaard Partner, Advokat (L) Kontrakter og Udbud +45 7230 7329 mas@kammeradvokaten.dk Jesper Nørøxe Advokat (L) Offentlig ret +45 7230 7241 jno@kammeradvokaten.dk Niels Banke Partner, Advokat (H) Proces Ansættelsesret +45 7230 7349 ban@kammeradvokaten.dk Anni Noes Westergaard Advokat Kontrakter og udbud +45 7230 7417 anwe@kammeradvokaten.dk 14