EU s persondataforordning Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse
Disposition Kort om forordningen Implementering - Processen i Justitsministeriet og UVM i forhold til institutionerne Tre nedslag i forordningen set i et institutionsperspektiv Compliance, Forberedelse og Databeskyttelsesrådgiver Hvor kan I læse mere og er der behov for at læse mere? DEG konference d. 29. november 2016 2
Formål Databeskyttelsesforordningen Persondataforordningen Styrke individernes (fysiske personers) ret til databeskyttelse Understøtte det frie flow af data [Reducere administrative byrder] 50 siders forordning og 30 siders præambel! DEG konference d. 29. november 2016 3
Databeskyttelsesforordningen Persondataforordningen Forordningen (DBF) En række principper for god behandlingsskik, som skal efterleves. Krav om et hjemmelsgrundlag til behandling af persondata. Fastlægger rettigheder for den registrerede, som vedkommende skal kunne udøve. Et sæt af forpligtelser, som den dataansvarlige og databehandlere skal efterleve. Datatilsynet har ret til at føre tilsyn, komme med påbud, advarsler og bøder. DEG konference d. 29. november 2016 4
Nye og allerede kendte databeskyttelseselementer Rigtig meget fra Persondataloven går igen i DBF Væsentlige ændringer med DBF er: 1. Ansvarlighed/Accountability man skal kunne dokumentere, at man overholder reglerne at man er Compliant 2. Databeskyttelsesrådgiver (DPO) krav for off. og visse private virk. 3. Risikobaseret pligt til at udarbejde konsekvensanalyser Dataprotection Impact Assessments (DPIA) / Privacy Impact Assessments (PIA) 4. Risikobaseret krav om indbygget databeskyttelse ved udvikling af nye løsninger Privacy by Design og by Default 5. Notifikationspligt til tilsynet og i visse tilfælde de registrerede 6. Strengere sanktioner (bøder) DEG konference d. 29. november 2016 5
Nye og allerede kendte databeskyttelseselementer Rigtig meget fra Persondataloven går igen i DBF Væsentlige ændringer med DBF er: 1. Ansvarlighed/Accountability Fokus her og nu man skal kunne dokumentere, at man overholder reglerne at man er Compliant 2. Databeskyttelsesrådgiver (DPO) krav for off. og visse private virk. 3. Risikobaseret pligt til at udarbejde konsekvensanalyser Dataprotection Impact Assessments (DPIA) / Privacy Impact Assessments (PIA) 4. Risikobaseret krav om indbygget databeskyttelse ved udvikling af nye løsninger Privacy by Design og by Default 5. Notifikationspligt til tilsynet og i visse tilfælde de registrerede 6. Strengere sanktioner (bøder) DEG konference d. 29. november 2016 6
Implementering af DBF EU-forordning = Lov i Danmark Gælder fra 25. maj 2018 Skal primært fortolkes.. den kan/skal på visse områder suppleres med dansk særlovgivning PDL og Sikkerhedsbekendtgørelse ophæves.. PDL 2.0? Anden lovgivning tjek og rette ind eller rette til UVM har 43 love med tilhørende bekendtgørelser m.v. Tilpasning af procedurer hos myndigheder mv. DEG konference d. 29. november 2016 7
Justitsministeriets arbejde Analyse af forordningens bestemmelser og rammer for nationale særregler. Analyse af konsekvenserne for gældende dansk lovgivning 1. kvartal 2017 JM s anbefalinger og udkast til lovgivningsmæssige tilpasninger. Okt. 2017 lovforslag fremsættes. 25. maj 2018 ikrafttrædelse. UVM deltager ved Juridisk Kontor i DEPT og STILs kontor for It-sikkerhed og Databeskyttelse DEG konference d. 29. november 2016 8
UVM og databeskyttelsesforordningen Roller og opgaver DEPT har ansvaret for lovsporet. STUK har ansvaret for implementering af ændringer i de administrative regelsæt (bekendtgørelser og vejledninger m.fl.) og for de udadrettede aktiviteter i forhold til institutionerne. STIL har som dataansvarlig for koncernens it-systemer ansvaret for kortlægning, analyse og praktiske tiltag til sikring af forordningens efterlevelse. STIL etablerer en DPO funktion, der dækker hele UVM (DEPT, STUK, STIL). DEG konference d. 29. november 2016 9
Aktiviteter ift. institutionerne STUK og STIL afventer JM s anbefalinger, analyser og udkast til ændring i lovgivning, som forventes klar i første kvartal 2017. STUK og STIL vil derefter vurdere behovet for ændringer i bekendtgørelser, instrukser og vejledninger. Evt. regelændringer vil blive sendt i høring hos relevante interessenter. STUK vil vurdere om der er behov for en særlig institutionsrettet vejledningsindsats på ministeriets område. Vejledningsindsatsen vil ske i samarbejde med skoleforeningerne og vil som udgangspunkt vedrøre håndtering af personretslige emner, der generelt giver anledning til spørgsmål i sektoren. DEG konference d. 29. november 2016 10
KID Kontor for It-sikkerhed og Databeskyttelse STIL er ansvarlig for ministeriets IT-systemer, og dermed som udgangspunkt dataansvarlig og ansvarlig for it-sikkerheden. KID er etableret for at samle ressourcerne, så en stadig øget anvendelse af data og it-systemer håndteres professionelt ift. nye krav og trusler. Databeskyttelsesforordningen er ikke alene om at stille krav ISO 25001/2, God databehandlingsskik, Rigsrevisionen KID har i alt 7 medarbejdere rekrutteret internt/eksternt med kompetencer indenfor it-sikkerhed, dataanvendelse, digitalisering, itrevision og jura. DEG konference d. 29. november 2016 11
Tre nedslag i forordningen set fra et institutionsperspektiv Mens vi venter på JM betænkningen 1. Compliance - lever vi op til gældende regelsæt? 2. Forberedelse af selve forordningen 3. Databeskyttelsesrådgiver DEG konference d. 29. november 2016 12
Compliance Lever I op til Persondataloven i dag og kan I dokumentere det? Så er I rigtig godt på vej. Sanity-check ift. Persondatalov og Sikkerhedsbekendtgørelsen Bevidsthed om ansvar og risici Sikre dokumentation og procedurer DEG konference d. 29. november 2016 13
Forberedelse Datatilsynets 12 spørgsmål Hvilke personoplysninger behandler I? lav en dataflow-analyse se KA slide 16-17 Hvilke informationer giver I de registrerede? Hvordan opfylder I de registreredes rettigheder? Hvordan indhenter I samtykke? Hvem er ansvarlig for databeskyttelse hos jer? I rollen som dataansvarlig: Er jeres behandlinger forbundet med særlige risici? Her I indtænkt databeskyttelse i jeres design? DEG konference d. 29. november 2016 14
Databeskyttelsesrådgiver (DPO) Jurist eller sikkerhedsperson Juristerne: Det her er en opgave for jurister og der står meget lidt i reglerne om, hvordan man skal beskytte data. Der skal fokus på compliance med loven. Sikkerhedsfolk kender ikke den komplicerede retspraksis. Sikkerhedsfolk kan ikke foretage en vurdering af hvilke problematikker, som er relevante. Sikkerhedsfolk: Grundlæggende handler det om at beskytte personoplysningers fortrolighed og til dels deres integritet. Der er fokus på risikovurderinger, privatlivsimplikationsanalyser, dataklassifikation, sikringstiltag, design af it-arkitektur og det er en sikkerhedsbrist i sig selv at overlade det til en jurist. Kilde: DI Digital, Henning Mortensen DEG konference d. 29. november 2016 15
Er der særlige krav til en DPO? Nej, ikke for så vidt angår uddannelse Der er heller ikke et krav om certificering Men forordningen stiller en række andre krav DPO udpegning (artikel 37) DPO ens stilling (artikel 38) DPO opgaver (artikel 39) DEG konference d. 29. november 2016 16
Skal institutionerne have en DPO? Alle offentlige myndigheder skal have en DPO. - som dataansvarlig og/eller databehandler Visse private virksomheder skal have en DPO. - Hvis behandling af persondata er en kerneaktivitet, i stort omfang, ikke biaktivitet (Art 37, stk1, litra b). DPO opgaven kan løses som en tjenesteydelse, dvs. af en ekstern Offentlig myndighed følger forvaltningslovens definitioner. - Dermed er I ikke alle en offentlig myndighed nogle af jer er private. Hvis I er dataansvarlig/databehandler og skal have en DPO, løser I DPO opgaven. Hvis UVM er dataansvarlig/ løser STIL/KID DPO opgaven. Offentlige myndigheder kan udpege en fælles DPO i overensstemmelse med deres organisatoriske struktur og størrelse. - Fx én DPO i UVM, jf. ovenfor. Vi har aftalt med Justitsministeriet, at problematikken vil blive tydeliggjort i materialet om offentlige myndigheders forpligtelser, hvilket UVM afventer ift. videre tiltag. DEG konference d. 29. november 2016 17
Læs mere Datatilsynet: www.dbreform.dk www.datatilsynet.dk Kammeradvokaten (DEG): www.deg.dk/medlem/it/it-og-data/#panelc8752 Diverse advokat-, revisions -og konsulentfirmaer It-brancheforeningen DEG konference d. 29. november 2016 18