PERSONDATAFORORDNINGENS BETYDNING FOR MEDIERS OG MEDIEBUREAUERS BEHANDLING AF PERSONDATA

Relaterede dokumenter
MEDIEVIRKSOMHEDER PÅ FACEBOOK

Rabatkuponer og social shopping

PERSONDATAREGLERNE I STORE TRÆK

Medlemsfastholdelse når medlemsdata, services og kommunikation spiller sammen. - IT-advokatens syn på informationshåndtering i organisationer

Persondataforordningen

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

EU GDPR Endnu en Guide

PERSONDATAFORORDNINGEN STATUS???? OG ER DER NOGET NYT I DEN?

I vores privatlivspolitik kan du læse om, hvordan vi behandler dine personoplysninger.

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Orientering om databeskyttelsesforordningen. Sundhedsstrategisk Forum Onsdag den 21. marts 2018

Birgitte Toxværd Bruun & Hjejle

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Ma lrettet arbejde med persondataforordningen for Helberskov Vandværk

Ma lrettet arbejde med persondataforordningen for

Må lrettet årbejde med persondåtåforordningen for Gl. Rye Våndværk

Regler om persondata Koordinatormøde den 28. nov. 2017

Ma lrettet arbejde med persondataforordningen for

Overblik over persondataforordningen

Persondatapolitik Vordingborg Gymnasium & HF

Målrettet arbejde med persondataforordningen for

FORSYNINGSTRÆF 2016 PERSONDATARET HVORFOR NU EGENTLIG DET?

Data Protection Officer (DPO): DPO-krav og outsourcing af DPO-rollen

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Målrettet arbejde med persondataforordningen for

Målrettet arbejde med persondataforordningen for

Rigsarkivets konference 2. november 2016

Vi passer på dine persondata

Persondataforordningen

Standard Document. Persondataforordningen og Privatpolitikker (eller på engelsk, The general data protection regulation)

Ophavsret i historisk perspektiv og i en digital verden

Persondata politik for GHP Gildhøj Privathospital

Persondatapolitik for Aabenraa Statsskole

Privatlivspolitik CBS Executive

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Må lrettet årbejde med persondåtåforordningen for Vejby Smidstrup Våndværk

Persondatapolitik for Tørring Gymnasium 2018

Avnbøl-Ullerup Våndværk A.m.b.å. CVR-nr

Må lrettet årbejde med persondåtåforordningen for

PRIVATLIVSPOLITIK FOR MATCHWORK, OFIR OG BRANDERO

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

GML-HR A/S CVR-nr.:

Persondataforordningen den 20. februar 2018

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Konferencer og seminarer - markedsføring og personoplysninger. Nana Louw & Linda Tørngren Henriksen

Bilag 3 Personoplysninger Den registrerede Behandling af personoplysninger Dataansvarlig Databehandler Brud på persondatasikkerheden

HAR DIN VIRKSOMHED STYR PÅ GDPR? v/ Advokat Henrik Mansfeldt Witt & Advokatfuldmægtig Majbritt Alemany

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Rollen som DPO. September 2016

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

DATASIKKERHED AF SUNDHEDSAPPS

Persondata i sundhedsapps

Information om behandling af persondata i Jyske Realkredit

STU Akademiets Persondatapolitik

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

Tjekliste til arbejde med persondata. Branchefælleskab for Intelligent Energi

Persondataforordningen...den nye erklæringsstandard

Håndtering af Persondataforordningen. Aarhus den 22. august 2017 Advokat Kamilla Mondrup

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Muligheder og risici ved eprivacy

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

Aftale vedrørende fælles dataansvar

Persondatapolitik på Gentofte Studenterkursus

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Persondatareguleringen. Hvorfor, hvornår, systemet og lidt om maj 2018

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Persondatapolitik for Odense Katedralskole

N. Zahles Skole Persondatapolitik

Målrettet arbejde med persondataforordningen for Østermarie Vandværk


opfylde vores kontraktuelle forpligtelser over for dig, samt at

Europaudvalget EUU Alm.del EU Note 27 Offentligt

WP243 BILAG OFTE STILLEDE SPØRGSMÅL

Den Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2

Persondatapolitik for Backhausen A/S behandling af personoplysninger

BIG DATA OG PERSONDATABESKYTTELSE

1. INDSAMLING AF PERSONOPLYSNINGERNE

Persondataforordningen - set med danske øjne

PERSONDATAPOLITIK FOR DANSK TOURETTE FORENING

Databeskyttelsesrådgiver/DPO. artikel 37-39

PRIVATLIVSPOLITIK FOR GREVE RENOVATION A/S

September Indledning

ORDINÆR GENERALFORSAMLING I H. LUNDBECK A/S - HÅNDTERING AF PERSONOPLYSNINGER

Retningslinje om ansvarsfordeling - dataansvarlig vs. databehandler

Folketinget Retsudvalget Christiansborg 1240 København K DK Danmark

Retningslinje om overførsel til tredjelande

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

Behandling af personoplysninger

Persondatapolitik for autolakererens behandling af personoplysninger

Persondatapolitik for. Klippinge Vandværk

Transkript:

PERSONDATAFORORDNINGENS BETYDNING FOR MEDIERS OG MEDIEBUREAUERS BEHANDLING AF PERSONDATA Heidi Højmark Helveg, advokat, partner 18. januar 2017

HVAD BETYDER DEN NYE PERSONDATAFORORDNING FOR MEDIER OG MEDIEBUREAUER? 1. Hvordan får man kortlagt sin brug af persondata? 2. Hvornår skal man have en DPO, og hvem kan være det? 3. Nye regler om profilering hvad betyder det for behavioral marketing, re-targeting og tracking? 4. Hvilke skridt skal man igennem for at nå at overholde reglerne, når de træder i kraft i maj 2018? 5. Forslag til ny e-databeskyttelsesforordning

HVORDAN FÅR MAN KORTLAGT SIN BRUG AF PERSONDATA? side 3

UNDERSØG JERES BRUG AF PERSONDATA side 4 Få styr på datastrømmen! Relevante spørgsmål: 1. Hvem behandler I data om? Ansatte, kunder, samarbejdspartnere, besøgende på hjemmeside? 2. Hvilken slags data er der tale om? Navne, adresser, e-mails, billeder, subscribers? Præferencer? Følsomme? 3. Hvad bruges oplysningerne til? Profilering? Målretning af reklamer? Emner, man ikke registrerer oplysninger om. 4. Hvem har adgang til oplysningerne? Hvordan er oplysningerne beskyttet? Kan receptionisten se Poul Nyrups præferencer? 5. Sker der overførsel af oplysningerne? Overførsel til databehandler er ikke en behandling, hvis gyldig, skriftlig databehandleraftale dækker behandlingen Videregivelse?

HVORNÅR SKAL MAN HAVE EN DPO, OG HVEM KAN VÆRE DET? side 5

DATABESKYTTELSESRÅDGIVER (DPO) side 6 En dataansvarlig eller databehandler skal udpege en DPO, hvis : Offentlig myndighed eller offentligt organ Kerneaktiviteterne i en privat virksomhed består af behandlingsaktiviteter, der i medfør af deres karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede i stort omfang, eller Kerneaktivitet i en privat virksomhed består af behandling i stort omfang af følsomme personoplysninger eller oplysninger om straffedomme og lovovertrædelser En virksomhed kan altid udpege en DPO frivilligt OBS! Ingen undtagelser, selvom man kun har få ansatte. Men mulighed for at dele i en koncern Medie? Mediebureau? Annoncør?

DATABESKYTTELSESRÅDGIVER (DPO) side 7 DPO ens opgaver: 1. Rådgive og vejlede om forpligtelser 2. Rådgive og vejlede om løsninger og efterlevelse 3. Overvåge design og drift af løsninger 4. Udførelse af processer og kontroller 5. Kontrollere og overvåge efterlevelse

HVEM KAN VÆRE DPO? side 8 En eksisterende medarbejder En ekstern person, der på kontrakt hyres ind til opgaven Udpeges ud fra faglige kvalifikationer, herunder kendskab til persondataret og it Krav til uafhængighed og beskyttelse mod afskedigelse Rapporterer til den øverste ledelse Underlagt tavshedspligt

NYE REGLER OM PROFILERING HVAD BETYDER DET FOR BEHAVIORAL MARKETING, RE-TARGETING OG TRACKING? side 9

VIGTIGE DEFINITIONER FRA FORORDNINGEN side 10 Profilering": enhver form for automatisk behandling af personoplysninger, der består i at anvende de pågældende oplysninger til at evaluere bestemte personlige forhold vedrørende en fysisk person, navnlig for at analysere eller forudsige forhold vedrørende den fysiske persons arbejdsindsats, økonomiske situation, helbred, personlige præferencer, interesser, pålidelighed, adfærd, opholdssted eller bevægelser Pseudonymisering": behandling af personoplysninger på en sådan måde, at oplysningerne ikke længere kan henføres til en bestemt registreret uden brug af supplerende oplysninger, så længe sådanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger for at sikre, at henførsel til en identificeret eller identificerbar person ikke kan forekomme

RELEVANTE REGLER side 11 Artikel 19 (2): Hvis personoplysninger behandles med henblik på direkte markedsføring, har den registrerede til enhver tid ret til at gøre indsigelse mod behandlingen af sine personoplysninger til sådan markedsføring, som omfatter profilering, i det omfang den vedrører direkte markedsføring. Afgørende: personidentificerbar? Artikel 20 (1): Den registrerede har ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering, som har retsvirkning eller på tilsvarende vis har betydelige konsekvenser for den pågældende. Reklamer? IP-adresser

RELEVANTE REGLER side 12 Artikel 35 (3): krav om konsekvensanalyse ved profilering som grundlag for afgørelser: en systematisk og omfattende vurdering af personlige forhold vedrørende fysiske personer, der er baseret på automatisk behandling, herunder profilering, og som er grundlag for afgørelser, der har retsvirkning for den enkelte eller på tilsvarende vis har betydelige konsekvenser for den enkelte Oplysninger, der har været genstand for pseudonymisering, og som kan henføres til en fysisk person ved brug af supplerende oplysninger, bør betragtes som oplysninger om en identificerbar fysisk person.

HVORDAN BRUGER VI LOVLIGT PERSONDATA I MARKEDSFØRINGEN? side 13 Kortlægning! Sørg for at få den registreredes samtykke eller vær sikker på, at en af undtagelserne finder anvendelse, inden dennes persondata behandles Personoplysningerne skal anvendes til saglige formål, og behandlingen må ikke omfatte mere, end hvad der er nødvendigt for at opfylde disse formål Oplysningspligten! Foretag fornøden ajourføring af oplysningerne Overvågning kan medføre krav om DPO Generelle markedsføringsregler?

HVILKE SKRIDT SKAL MAN IGENNEM FOR AT NÅ AT OVERHOLDE REGLERNE, NÅR DE TRÆDER I KRAFT I MAJ 2018? side 14

TIPS TIL HVORDAN I KOMMER I GANG side 15 Før design og implementering af en løsning bør man foretage følgende: Få kortlagt data og behandlingen Direkte markedsføring Profilering Børn Få identificeret relevante krav i forordningen Indsigelsesret på grund af direkte markedsføring Oplyse om profilering Indsigtsret på grund af profilering eller ret til sletning Fortegnelse over behandlingsaktiviteter Skal I foretage en privacy impact assessment? Skal I have en DPO? Ting tager tid - husk at komme hurtigt i gang!

FORSLAG TIL NY E-DATABESKYTTELSESFORORDNING side 16

FORSLAG TIL NY E-DATABESKYTTELSESFORORDNING side 17 EU-Kommissionen har fremsat et forslag til ny forordning Erstatning for det nuværende cookie-direktiv Krav om forudgående "opt-in" samtykke for anvendelse af cookies og til behandling af personoplysninger Begrænsning ift. undtagelsen om legitim interesse Brugere kan i sine browserindstillinger give samtykke til tredjeparts cookies Giver brugere ikke samtykke hertil, vil det være sværere for virksomheder at opnå samtykke til direkte markedsføring. Tidshorisont Forslaget forventes færdiggjort i januar 2017 Det Europæiske Råd og EU-Parlamentet gennemse det Når forslaget endelig er vedtaget, er der ifølge udkastet til forordningen en overgangsperiode på 6 måneder.

FORSLAG TIL NY E-DATABESKYTTELSESFORORDNING side 18

FORSLAG TIL NY E-DATABESKYTTELSESFORORDNING side 19 New players: privacy rules will in the future also apply to new players providing electronic communications services such as WhatsApp, Facebook Messenger and Skype. This will ensure that these popular services guarantee the same level of confidentiality of communications as traditional telecoms operators. Stronger rules: all people and businesses in the EU will enjoy the same level of protection of their electronic communications through this directly applicable regulation. Businesses will also benefit from one single set of rules across the EU. Simpler rules on cookies: the cookie provision, which has resulted in an overload of consent requests for internet users, will be streamlined. The new rule will be more user-friendly as browser settings will provide for an easy way to accept or refuse tracking cookies and other identifiers. The proposal also clarifies that no consent is needed for non-privacy intrusive cookies improving internet experience (e.g. to remember shopping cart history) or cookies used by a website to count the number of visitors. Communications content and metadata: privacy is guaranteed for communications content and metadata, e.g. time of a call and location. Metadata have a high privacy component and is to be anonymised or deleted if users did not give their consent, unless the data is needed for billing. New business opportunities: once consent is given for communications data - content and/or metadata - to be processed, traditional telecoms operators will have more opportunities to provide additional services and to develop their businesses. For example, they could produce heat maps indicating the presence of individuals; these could help public authorities and transport companies when developing new infrastructure projects. Protection against spam: this proposal bans unsolicited electronic communications by emails, SMS and automated calling machines. Depending on national law people will either be protected by default or be able to use a do-not-call list to not receive marketing phone calls. Marketing callers will need to display their phone number or use a special pre-fix that indicates a marketing call. More effective enforcement: the enforcement of the confidentiality rules in the Regulation will be the responsibility of data protection authorities, already in charge of the rules under the General Data Protection Regulation.

PROFIL HEIDI HØJMARK HELVEG side 20 Heidi Højmark Helveg rådgiver om markedsføringsret, immaterialret og persondataret. Internetrelaterede emner er en væsentlig del af hendes specialeområder, både i relation til immaterialretten og markedsføringsretten. Inden for immaterialretten er Heidis fokus på varemærkeret, ophavsret og designret, hvor hun rådgiver både på kontraktsiden og fører retssager. I relation til markedsføringsretten har hun en indgående specialisering i relation til markedsføringsloven generelt med et særligt fokus på online markedsføring, eksempelvis keywords og anden brug af varemærker på internettet, spam, sociale medier, domænenavne mv. Yderligere rådgiver hun om produktefterligninger og andre overtrædelser af god markedsføringsskik. Heidi Højmark Helveg Partner, Attorney Dir: +4533344116 Mob: +4552344116 E-mail: hhh@horten.dk Karriere Medlem af Erhvervs- og Vækstministeriets ekspertudvalg om markedsføringsloven, 2015-2016 Partner, Horten, 2011 Certifieret IT-advokat, 2010 Møderet for landsret, 2008 Advokatbeskikkelse, 2005 Advokatfuldmægtig, Horten, 2002: Uddannelse Cand.jur., Københavns Universitet, 2002 HA.jur., Aalborg Universitet, 1998 Specialer Markedsføring, e-handel & betalingstjenester Immaterialret It-ret & telekommunikation Media & entertainment

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback