Forstå de nye krav til databehandling og lær at afkræfte myter om persondata Birgitte Kofod Olsen, Partner, Cand.jur., PhD, Carve Consulting Medstifter af DataEthics Vi skaber muligheder & realiserer potentialet sammen
Introduktion Birgitte Kofod Olsen Jurist (1991) med Ph.D.-grad i biometri og privatlivsbeskyttelse (1998) Partner og medejer af Carve Consulting Professionel track-record CSR-chef i Tryg 2009-14 Vicedirektør, afdelingsleder og forsker i Institut for menneskerettigheder 1994-2009 Ekstern lektor, gæsteforelæser, censor og PhD-bedømmer på Københavns Universitet, Roskilde Universitet, Århus Universitet, Ålborg Universitet, Copenhagen Business School, BI Norwegian Business School 1999- Netværk Medlem af repræsentantskabet i Foreningen Nordea Liv og Pension, 2016- Medlem af Ligebehandlingsnævnet 2015- Medstifter af tænke-handle-tanken Dataethics 2015 Formand for Rådet for Digital Sikkerhed 2012-2015 Formand for Ungdomsbyen 2016-, næstformand 2007-15 Formand i teatrene Danskdansk og Teatergrad 2012-16 Modtog prisen som Årets Erhvervskvinde i 2014 Optaget i Kraks Blå Bog i 2013. 2
3
TERMINOLOGI 4
DATAETIK PERSONDATABESKYTTELSE Privatlivsbeskyttelse Privacy 5
Persondatabeskyttelse som grundrettighed EU direktiv om persondatabeskyttelse 1995 EU Charter for grundlæggende rettigheder 2000 EU Traktaten Lissabon 2009 EU forordning om persondatabeskyttelse 2018 Persondataloven 1995 Registerlovene 1978/79 Grundloven 1849 72 FN s Konvention om civile og politiske rettigheder 1966 FN s Verdenserklæring 1948 Europarådets Konvention om databeskyttelse 1981 Europarådets Europæiske Menneskerettighedskonvention 1953 OECD retningslinjer for persondata- Beskyttelse 1980 6
DATAETIK? Mere end compliance Fremme af værdierne bag reguleringen Bæredygtig dataanvendelse Det rigtige at gøre for samfund & individ 7
PRINCIPPER 8
Grundrettighed: Datasubjektet har ret til kontrol med egne data Jeg bestemmer over min krop mine ting mine penge data om mig Retten til respekt for privatliv Derfor skal du spørge mig om lov, hvis du vil bruge mine data fortælle, hvorfor og til hvad, mine data skal bruges til fortælle, hvem der ellers ser dem fortælle, hvis du mister dem - Retten til persondatabeskyttelse 9
Kernen: formålsbestemthed Bestemt og beskrevet formål Samtykke eller andet lovligt grundlag Sletning Data skal være: Nødvendige Proportionale i forhold til formålet Datamængde og datatype skal være minimeret Korrekte og opdaterede Kun opbevares, så længe de er nødvendige i forhold til formålet 10
Konceptet: Grundprincipper for databeskyttelse EU persondataforordningen er baseret på fire grundprincipper: Databeskyttelse som rettighed: Beskyttelsesværnet er givet til individet i form af kunden, forbrugeren og medarbejderen. Den enkelte person skal kunne kontrollere sine egne data og som udgangspunkt bestemme, hvad data om vedkommende kan anvendes til. Livscyklus: Databeskyttelsen skal være effektiv fra indsamling til sletning Individets rettigheder Information Valg og samtykke Adgang til data Retten til at blive glemt Kontrol med informationer Informationssikkerhed Kvalitet Evaluering Kontrol Data livscyklus Indsamling Brug og opbevaring Videregivelse Sletning Ledelse Styring Administration Monitorering Håndhævelse Kontrol: Den dataansvarlige og databehandlere skal sikre dataenes integritet, troværdighed, tilgængelighed og kvalitet Ledelse: Den dataansvarlige og databehandlere skal sørge for organisatorisk og teknisk parathed og robusthed 11
KRAV TIL DATABESKYTTELSEN 12
Dataansvarlighed Databeskyttelsespoliti Adfærdskodeks Retningslinjer Procedurer and processer Anvendte standarder, fx. ISO27001 Dokumentation Databehandleraftale DPO Databehandling Databehandlingsbetingelser Lovligt grundlag: samtykke, lovkrav, kontrakt, tungere vejende interesser Overførsel til tredjeland Oplysning om behandling og videregivelse Adgang til data Berigtigelse og sletning Nej til profilering Dataportabilitet Tilgængelighed Fortrolighed Integritet Robusthed Sikkerhed Dataansvarlighed Datarettigheder
Dataansvarlighed: forordningens krav GDPR artikel 5, 24, 28, 30 og 37 stiller krav til dataansvarlighed: Lovlig, rimelig og transparent databehandling Databeskyttelsespolitik Organisatoriske og tekniske foranstaltninger: Interne retningslinjer, procedure og processer + kontroller Adfærdskodeks og certificeringer Anvendte standarder, fx ISO27001 Databehandleraftaler Dokumentation af databehandlingen Data Protection Officer
Dataansvarlighed: organisatorisk parathed Indsatsen for at sikre dataansvarlighed kræver en ledelsesstruktur og en organisation, der kan løfte disse opgaver: Ledelsesbeslutning om ambitionsniveau, intern regulering, kompetencer og kontrol Politik, der beskriver, hvordan databehandlingen foregår og hvordan behandlingssikkerheden etableres Procedurer og processer for modtagelse og behandling af anmodninger om brug af datarettigheder Opgavebeskrivelse og placering af ansvar Et passende kompetenceniveau hos medarbejdere til at efterleve forordningens krav i dagligdagen Integration af persondatabeskyttelse i daglig drift og planlægning Kontrol med processer og procedurer
Databehandling Databeskyttelsespoliti Adfærdskodeks Retningslinjer Procedurer and processer Anvendte standarder, fx. ISO27001 Dokumentation Databehandleraftale DPO Databehandling Databehandlingsbetingelser Lovligt grundlag: samtykke, lovkrav, kontrakt, tungere vejende interesser Overførsel til tredjeland Oplysning om behandling og videregivelse Adgang til data Berigtigelse og sletning Nej til profilering Dataportabilitet Tilgængelighed Fortrolighed Integritet Robusthed Sikkerhed Dataansvarlighed Datarettigheder
Databehandling: forordningens krav GDPR artikel 5-9 fastlægger forudsætningerne for persondatabehandlingen: Formålsbestemthed Dataminimering: Nødvendighed Tilstrækkelighed og relevans Nøjagtighed Opbevaringsbegrænsning Samtykke til behandling og videregivelse Dokumentation af samtykke Andet lovligt grundlag: lov, kontrakt samfundsmæssig interesse, der vejer tungere end hensynt til datasubjektet forretningsmæssig interesse, der vejer tungere
Databehandling: i praksis Er der tale om personoplysninger Behandles de elektronisk i register eller systematisk? Er de grundlæggende principper overholdt? Hvilken type oplysning? Er der hjemmel til den specifikke behandling? Grundlæggende principper, art. 5: Nødvendige Proportionale i forhold til formålet Datamængde og datatype skal være minimeret Korrekte og opdaterede Kun opbevares, så længe de er nødvendige i forhold til formålet 07-09-2016
Datarettigheder Databeskyttelsespoliti Adfærdskodeks Retningslinjer Procedurer and processer Anvendte standarder, fx. ISO27001 Dokumentation Databehandleraftale DPO Databehandling Databehandlingsbetingelser Lovligt grundlag: samtykke, lovkrav, kontrakt, tungere vejende interesser Overførsel til tredjeland Oplysning om behandling og videregivelse Adgang til data Berigtigelse og sletning Nej til profilering Dataportabilitet Tilgængelighed Fortrolighed Integritet Robusthed Sikkerhed Dataansvarlighed Datarettigheder
Datarettigheder: forordningens krav Dataforordningens artikel 12-22 bestemmer, at datasubjektet har ret til at Blive oplyst om behandlingen af deres persondata og formålet med behandlingen Blive oplyst om videregivelse af data Få adgang til sine data Få berigtiget sine data Få slettet sine data Få begrænset databehandlingen Overflyttet sine data til sig selv eller en anden serviceubyder Gøre indsigelse mod databehandlingen Ikke at blive udsat for profilering i forbindelse med afgørelser, der har betydning for vedkommende
Datarettigheder: i praksis Opfyldelse af datarettighederne i en organisation kræver: Ledelsesbeslutning om ambitionsniveau, intern regulering, kompetencer og kontrol Politik, der beskriver, hvordan rettighederne kan bruges af kunder og medarejdere Procedurer og processer for modtagelse og behandling af anmodninger om brug af rettigheder Opgavebeskrivelse og placering af ansvar Kompetencer hos medarbejdere til at behandle anmodningerne Kontrol med processer og procedurer
Behandlingssikkerhed Databeskyttelsespoliti Adfærdskodeks Retningslinjer Procedurer and processer Anvendte standarder, fx. ISO27001 Dokumentation Databehandleraftale DPO Databehandling Databehandlingsbetingelser Lovligt grundlag: samtykke, lovkrav, kontrakt, tungere vejende interesser Overførsel til tredjeland Oplysning om behandling og videregivelse Adgang til data Berigtigelse og sletning Nej til profilering Dataportabilitet Tilgængelighed Fortrolighed Integritet Robusthed Sikkerhed Dataansvarlighed Datarettigheder
Behandlingssikkerhed: forordningens krav Dataforordningens artikel 32 forpligter den dataansvarlige og databehandleren til at etablere et passende sikkerhedsniveau: Den dataansvarlige og databehandleren skal Gennemføre passende tekniske og organisatoriske foranstaltninger Etablere et sikkerhedsniveau, der er tilpasset organisationens risici Ved vurderingen af et passende sikkerhedsniveau kan der tages hensyn til: Det aktuelle tekniske niveau Implementeringsomkostningerne Den pågældende behandlings karakter, omfang, sammenhæng og formål Risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder Risikoen for navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.
Behandlingssikkerhed: forordningens krav Dataforordningens artikel 32 stiller krav om sikkerhed i forhold til datas fortrolighed, integritet, tilgængelighed og robusthed: Relevante sikkerhedsforanstalninger kan omfatte: pseudonymisering og kryptering af persondata, vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og - tjenester rettidig genoprettelse af tilgængelighed adgang til persondata efter fysisk eller teknisk hændelse procedurer for regelmæssig afprøvning, vurdering og evaluering af sikkerhedsforanstaltningernes effektivitet. Artikel 32 stiller også krav om etablering af adgangrettigheder: Den dataansvarlige og databehandleren sikrer, at enhver fysisk person, der udfører arbejde for dem og får adgang til persondata, kun må behandle disse efter instruks fra den dataansvarlige, med mindre behandlingen kræves i lovgivningen.
Behandlingssikkerhed i praksis Hvad er passende tekniske og organisatoriske foranstaltninger? Beskyttelse Beredskab Selvevaluering Hvilke sikkerhedstiltag er relevante? Hvordan sikrer vi vores behandlingssystemers Hvordan sikrer vi at vores tekniske og organisatoriske EU-GDPR foranstaltninger er effektive? Pseudonymisering Fortrolighed Afprøvning Anonymisering Integritet Vurdering Kryptering Tilgængelighed Evaluering Robusthed
MYTER 26
# vi behandler ikke følsomme persondata - så persondataloven og EU forordningen er ikke relevante for os 27
Datatyper Racemæssig, eller etnisk baggrund politisk, religiøs el. filosofisk overbevisning, fagforening, helbredsmæssige og seksuelle forhold, biometriske og genetiske data art. 9 Udtrykkeligt samtykke Nødvendig ansættelsesretligt formål Offentliggjort af den registrerede Nødvendig af offentlig interesse Evt. yderligere national regulering/overenskomster fsva. biometriske og genetiske data Strafbare forhold Art 10 CPR-nummer Art. 87 Fx: Økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold, bolig, bil, geo-location, netadfærd, IP-adresse, eksamen, ansøgning, CV, ansættelsesdato, stilling, arbejdsområde, arbejdstelefon, stamoplysninger: navn, adresse, fødselsdato samt øvrige nummeroplysningsdata NB! Ansættelsesdata kan blive omfattet af særlig national regulering Art. 6 Samtykke Kontraktlig forpligtelse Retlig hjemmel Offentlig interesse Legitim interesseafvejning 28
Datatyper i praksis 29
# vi har indhentet samtykke - så behøver vi ikke bekymre os om mere 30
Bak engang! Er de grundlæggende principper overholdt? Hvilken type data? Almindelige Kumulerede Følsomme Er der hjemmel til den specifikke behandling? Grundlæggende principper, art. 5: Nødvendige Proportionale i forhold til formålet Datamængde og datatype skal være minimeret Korrekte og opdaterede Kun opbevares, så længe de er nødvendige i forhold til formålet 07-09-2016
# vi kan lige så godt bruge data i andre projekter - når nu vi har indhentet dem 32
Fokusér på formålet! Bestemt og beskrevet formål Opdaterede og korrekte data Sletning, når behandlingen ikke længere er nødvendig Data skal være: Nødvendige Proportionale i forhold til formålet Datamængde og datatype skal være minimeret Korrekte og opdaterede Kun opbevares, så længe de er nødvendige i forhold til formålet 33
# vi har helt styr på datasikkerheden 34
- det troede Ashley Madison også 35
INFORMATIONSMATERIALE 36
37
Justitsministeriet mv. Stormøde den 9. februar 2017 Hav styr på de 12 spørgsmål Slides og Q&A på http://dbreform.dk/ Rapport fra projektgruppen begyndelsen af april 2017 38
Datatilsynet Afgørelse fra Datatilsynet af 15. december 2016 om datakvalitet Behandling af personoplysninger skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne, jf. PDL 5, stk. 4 (artikel 5, stk. 1 (d)) Dette medfører et krav om fornøden kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. Disse skal snarest slettes eller berigtiges. Vejledende udtalelse om kontrol af internettrafik og e-mails for medarbejdere og byrådsmedlemmer af 14. Februar 2017 39
Ny litteratur 40
Kontaktinformation Birgitte Kofod Olsen Partner, phd Carve Consulting Nørre Voldgade 11, 2. sal 1358 København K +45 25 26 09 03 bko@carve.dk Carve.dk 41