EU s Persondataforordning - Håndtering af kundedata DI s konference, torsdag den 15. juni 2017 Pia Kirstine Voldmester, advokat (H) og partner
Mød Esben! (Hipster)mand 31 år Kandidatgrad i humanistisk informatik Bor i andelslejlighed på Vesterbro Onlinesøgninger med interesse for oplevelsesrejser, adventuresport, festivaler, rombarer, mikrobryggerier og mærketøj Ingen onlinesøgninger relateret til småbørn eller smykker til kvinder Hans IPhone7 opholder sig ofte omkring Sønder Boulevard eller i Kødbyen torsdag, fredag og lørdag aften (så det gør Esben nok også)
Baseret på vores viden om Esben, hans præferencer og andre mænd som ham er Esben i målgruppen for Rejser til rom-kolonierne i Caribien Mountainbike-tur til Åre i Sverige Streaming-serier om amerikansk politik Upcoming skandinaviske designere og sneaks er Esben uinteresseret i Badeferier til all-inclusive familiehotel Romantiske blockbustere er Esben i risikogruppen for Sportsskader Leverskader (?)
Introduktion til forordningen og grundlæggende begreber Grundlæggende principper og behandlingsregler Den registreredes rettigheder herunder profilering Databehandlere, sikkerhed og dokumentation 4
Status på Databeskyttelsesforordningen pr. 15. juni 2017 24. maj 2016 24. maj 2017 13. juni 2017 September 2017 januar 2018 Oktober 2017 25. maj 2018 Ikrafttræden Justitsministeriets publikation fremlægges Justitsministeriets stormøde Justitsministeriets vejledninger udkommer løbende Danske lovforslag fremsættes Forordningen finder anvendelse Beskedent fokus på persondatalovgivning Næsten ingen håndhævelse, ligegyldigt bødeniveau Fokus på informationssikkerhed Under et år tilbage Indtil nu Samme regler i hele EU/EØS (men mange nationale særregler) Mange nye proces- og dokumentationskrav Game changer Op til 10-20 mio. eller 2-4 % af den årlige globale omsætning 5
Anvendelsesområde Persondataforordningen Registrerede personer Fysiske personer (uanset nationalitet og bopæl) f. eks. medarbejdere, direktører, bestyrelsesmedlemmer, kunder, medlemmer, brugere og samhandelspartnere Forordningen beskytter ikke juridiske personer Bortset fra enkeltmandsvirksomheder og virksomheder etableret i interessentskaber Hvem skal overholde forordningen? Private virksomheder (uanset selskabsform) Offentlige myndigheder Organisationer Private personer skal ikke overholde reglerne, når der er tale om rent personlige og familiemæssige aktiviteter 6
Basale definitioner Personoplysning og behandling Hvad er personoplysninger? Enhver form for information om en identificeret eller identificerbar fysisk person ( den registrerede ) Ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet Hvad er en behandling? Enhver aktivitet eller række af aktiviteter med eller uden brug af automatisk behandling som personoplysninger eller en samling af personoplysninger gøres til genstand for F.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse Elektronisk behandling af personoplysninger Manuel behandling af personoplysninger i et register 7
Basale definitioner Personoplysninger Almindelige personoplysninger Navn, adresse, indkomst og formueforhold, civilstand, mv. Alle andre oplysninger end de særlige kategorier (f.eks. er almindelige oplysninger også personlighedstest, skilsmisser, bortvisninger, gæld og restancer mv.) Særlige kategorier af personoplysninger Racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold (ikke A-kasse), helbredsmæssige og seksuelle forhold Genetiske og biometriske data, ved behandling mhp. identifikation Straffeattester mv. Behandling for private virksomheder kræver lovhjemmel Samtykkets skæbne uvis CPR-nr. Persondatalovens 11 videreføres formentlig Behandling hvis fastsat i lov eller udtrykkeligt samtykke Ingen offentliggørelse uden udtrykkeligt samtykke 8
Introduktion til forordningen og grundlæggende begreber Grundlæggende principper og behandlingsregler Den registreredes rettigheder herunder profilering Databehandlere, sikkerhed og dokumentation 9
Basale definitioner Grundlæggende principper for al behandling Ansvarlighed Den dataansvarlige skal kunne dokumentere, at principperne overholdes Lovlighed, rimelighed og gennemsigtighed Lovlig, rimelig og gennemsigtig over for den registrerede Datakvalitet Oplysningerne skal være rigtige og om nødvendigt ajourførte Der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige, omgående slettes eller berigtiges Formålsbegrænsning Indsamling af oplysninger skal ske til udtrykkeligt angivne og legitime formål, og senere behandling må ikke være uforenelig med disse formål. Statistiske formål (mv.) som udgangspunkt forenelige (artikel 89) Sletning Oplysningerne skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end formålet tilsiger Muligheder for opbevaring med henblik på statistiske formål mv. (art. 89) Dataminimering Oplysningerne skal være relevante, tilstrækkelige og begrænset til hvad der er nødvendigt i forhold til formålene Kan vi nå formålet med færre oplysninger? Integritet og fortrolighed Tilstrækkelig sikkerhed for personoplysninger, herunder mod ubemyndiget eller ulovlig behandling og mod hændeligt tab, ødelæggelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger 10
Behandling af almindelige personoplysninger Artikel 6 Juridisk grundlag for behandling af almindelige personoplysninger Behandlingsgrundlag a) Den registreredes samtykke til et eller flere konkrete formål b) Nødvendig for udførelsen af en kontrakt hvori den registrerede er part (eller skridt forud for indgåelse af kontrakt) c) Nødvendig for at opfylde en retlig forpligtelse der gælder for den dataansvarlige d) Nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser e) Nødvendig ift. udførelsen af en opgave i samfundets interesse f) Nødvendig for at den dataansvarlige eller en tredjemand kan forfølge en berettiget interesse medmindre hensynet til den registreredes fundamentale rettigheder og friheder overstiger denne interesse, især når den registrerede er et barn 11
Behandling af særlige kategorier af personoplysninger Artikel 9 Juridisk grundlag for behandling af særlige kategorier af personoplysninger Behandlingsgrundlag a) Den registreredes udtrykkelige samtykke til specifikke formål b) Den dataansvarliges forpligtelser iht. lov eller overenskomst på arbejds- og socialområdet c) Den registreredes eller en anden persons vitale interesser hvor ej i stand til at give samtykke Racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, helbredsmæssige og seksuelle forhold Genetiske og biometriske data, ved behandling mhp. identifikation d) Politiske, filosofiske, religiøse eller faglige foreninger når legitime aktiviteter mv. e) Personoplysninger er tydeligvis offentliggjort af den registrerede f) Nødvendig ift. at retskrav fastslås, gøres gældende eller forsvares g) Nødvendig ift. væsentlige samfundsinteresser med hjemmel i lov h) Nødvendig ift. behandling inden for sundhedssektoren mv. Husk særlovgivning som f.eks. helbredsoplysningsloven, forskelsbehandlingsloven, foreningsfrihedsloven mv. i) Nødvendig ift. samfundsinteresser på folkesundhedsområdet j) Arkivering i samfundets interesse eller til bl.a. statistiske formål (jf. art. 89) 12
Samtykke som behandlingsgrundlag Artikel 6 og 9 artikel 7 Kravene til samtykke skærpes Permissions Et samtykke skal være 1. Frivilligt Et reelt frit valg Kan trækkes tilbage (hvorefter data skal slettes!) Separat samtykke til forskellige databehandlinger Gennemførelse af en kontrakt eller levering af en service må ikke betinges af samtykke til behandling eller brug af oplysninger, som ikke er nødvendige for gennemførelsen af kontrakten 2. Specifikt 3. Informeret 4. Utvetydigt (udtrykkeligt for følsomme oplysninger) Samtykket skal være tydeligt adskilt fra øvrig tekst (f.eks. ikke indeholdt i almindelige betingelser for brug af netbank, kundeaftaler osv.) Samtykker til forskellige formål må ikke puljes Systemer skal indrettes, så der sikres opsamling og opbevaring af dokumentation (dokumentationskrav) Opdatering af nuværende samtykkeformularer- og metoder Forældre/værge samtykke for børn ved brug af informationssamfundstjenesteydelser 13
Samtykkets begrænsninger i markedsføringssammenhæng Eksempler Du kan kun Konkurrence Markedsføring.. deltage i konkurrencen, hvis du giver samtykke til, at vi kan behandle dine personoplysninger til brug for markedsføring. Abonnement Markedsføring.. tegne et abonnementet, hvis du giver samtykke til, at vi kan behandle dine personoplysninger til brug for markedsføring.! Abonnement Produktudvikling.. tegne et abonnement, hvis du giver samtykke til, at vi kan behandle dine personoplysninger for at videreudvikle vores produkter.! For almindelige oplysninger: Overvej interesseafvejning Produkt Nødvendighed.. købe vores bio-hyggepakke med automatisk klargøring af alt det, du bedst kan li, hvis du giver samtykke til, at vi kan behandle dine personoplysninger for at finde frem til dine slik- og sodavandsfavoritter 14
Introduktion til forordningen og grundlæggende begreber Grundlæggende principper og behandlingsregler Den registreredes rettigheder herunder profilering Databehandlere, sikkerhed og dokumentation 15
Den registreredes rettigheder Persondataforordningen artikel 12-22 Oplysningspligt (udvidet) Ret til uden forespørgsel at blive oplyst om behandling af oplysninger om ham/hende Indsigt (udvidet) Ret til på forespørgsel at få indsigt i hvilke oplysninger den dataansvarlige behandler om ham/hende selv Berigtigelse Ret til at få urigtige oplysninger berigtiget Sletning Ret til at få slettet oplysninger om ham/hende selv ( retten til at blive glemt ) Begrænsning (ny) Ret til at kræve begrænsning af behandling ( blokering ) i en periode Dataportabilitet (ny) Ret til at få oplysninger afgivet af vedkommende selv med til en ny leverandør Klart og enkelt sprog, tidsfrister mv. Indsigelse Ret til at gøre indsigelse mod behandling af hans/hendes personoplysninger Automatisk individuel beslutningstagning Ret til ikke at blive underlagt automatisk, individuel beslutningstagning 16
Indsigelse mod direkte markedsføring Persondataforordningen artikel 21 Ubetinget ret til at gøre indsigelse mod direkte markedsføring Behandling af personoplysninger til direkte markedsføring kan ske på baggrund af interesseafvejningsreglen Den registrerede har til enhver tid ret at gøre indsigelse mod behandling af sine personoplysninger, herunder profilering, baseret på interesseafvejningsreglen Personoplysningerne kan fortsat behandles, hvis den dataansvarlige har vægtige legitime grunde til behandlingen, der overstiger den registreredes interesser Den registrerede til enhver tid ret til at gøre indsigelse mod behandling af sine personoplysninger til direkte markedsføring, herunder at gøre indsigelse mod profilering, i det omfang den vedrører direkte markedsføring Personoplysningerne kan ikke længere behandles til direkte markedsføring (inkl. profilering med henblik på direkte markedsføring) ----------------------------------------------------------------------------------------------- Den registrerede skal udtrykkeligt gøres opmærksom på disse rettigheder senest på tidspunktet for den første kommunikation Oplysninger skal meddeles klart, utvetydigt og adskilt fra alle andre oplysninger 17
Profilering Definition - artikel 4(4) Hvad er profilering? Enhver form for automatisk behandling af personoplysninger, der består i at anvende personoplysninger til at evaluere bestemte personlige forhold vedrørende en fysisk person, navnlig for at analysere eller forudsige forhold vedrørende den fysiske persons arbejdsindsats økonomiske situation helbred personlige præferencer pålidelighed adfærd geografisk position bevægelser interesser Eksempler Personlighedstest af jobansøgere Automatisk lønafregning i forhold til tidsregistrering ved brug af stempelkort eller lign. Udstedelse af advarsel til medarbejder på grund af for sent fremmøde, idet tidsregistreringssystem gav meddelelse herom 18
Automatiske individuelle afgørelser og profilering Artikel 22 Den registrerede har ret til ikke at blive underlagt afgørelser, som alene er baseret på automatisk behandling af personoplysninger, herunder profilering Undtagelser De registrerede kan underlægges afgørelser, som udelukkende er baseret på automatisk behandling af personoplysninger, herunder profilering, hvis: Afgørelsen er hjemlet i lokal lov Beslutningen er nødvendig for kontraktindgåelse eller opfyldelse Den registrerede har givet sit udtrykkelige samtykke Hvis baseret på kontraktsopfyldelse eller udtrykkeligt samtykke, har den registrerede følgende rettigheder: Ret til menneskelig intervention fra dataansvarlig Ret til at den registrerede kan udtrykke sin holdning og udfordre afgørelsen Følsomme oplysninger må kun behandles i forbindelse med automatiske individuelle afgørelser og profilering, hvis den registrerede har givet sit udtrykkeligt samtykke eller behandlingen sker som følge af en offentlig interesse (dvs. ikke kontrakt) 19
Behandling af personoplysninger Transparens, oplysningspligt, begrænsning i brug af data osv. Cross device tracking Indsamling og behandling af personoplysninger skal ske efter et need to know-princip (ikke nice to know) Transparens Den registrerede skal have lettere kontrol med egne personoplysninger Udtrykkeligt krav om gennemsigtighed: Den registrerede skal i langt højere grad end i dag have oplysninger om behandlingen af personoplysningerne Kravet gælder i vidt omfang allerede i dag i medfør af persondatalovens behandlingsprincipper og god databehandlingsskik Informationen skal være lettilgængelig og letforståelig Begrænsning i brug af data Personoplysningerne skal være tilstrækkelige, relevante og begrænset til det nødvendige Behandlingen af den registreredes personoplysninger skal være mindst muligt integritetskrænkende Personoplysninger bør kun behandles, hvis formålet med behandlingen ikke kan opfyldes på anden måde 20
Vigtigt, når man behandler personoplysninger til markedsføring Hvad skal marketing huske, når der behandles personoplysninger i forbindelse med leadgenerering og kampagner? Samtykke som behandlingsgrundlag Er der indhentet et gyldigt samtykke? Kan behandlingen med fordel baseres på et andet grundlag end samtykke? Oplysningspligten Har den registrerede fået oplyst, at personoplysninger anvendes i forbindelse med markedsføring, herunder profilering? Har den registrerede fået oplysninger om retten til at frabede sig behandlingen af personoplysninger til markedsføringsformål? De grundlæggende behandlingsprincipper Behandles personoplysningerne i overensstemmelse med de grundlæggende behandlingsprincipper? Er de nødvendige og passende sikkerhedsforanstaltninger implementeret? Involvering af tredjeparter Husk risikovurdering og databehandleraftaler 21
Introduktion til forordningen og grundlæggende begreber Grundlæggende principper og behandlingsregler Den registreredes rettigheder herunder profilering Databehandlere, sikkerhed og dokumentation 22
Dataansvarlig og databehandler Hvorfor er det vigtigt, hvem der er hvad? Den dataansvarlige træffer beslutning om behandlingsform, -formål, og - omfang Databehandleren følger beslutningerne, men har et - begrænset råderum Kravene til den dataansvarliges art. 30-dokumentation er mere omfattende En dataansvarlig skal f.eks. 1. foretage pre-audit af databehandleren 2. indgå en skriftlig aftale med lovpligtigt indhold med databehandleren 3. løbende auditere databehandleren i aftaleforholdet En databehandler skal f.eks. 1. stille sig til rådighed for inspektioner og audits 2. indgå underdatabehandleraftaler med sine leverandører 3. give information til dataansvarlig f.eks. ved sikkerhedsbrud 4. bidrage til dataansvarliges konsekvensanalyser 23
GDPRs tidslinje for brug af databehandlere 1. 2. 3. 4. Pre-audit af databehandler Vurdering af, om databehandleren kan stille fornødne garantier Skriftlig databehandleraftale Løbende audits af databehandler 24
Eksempel på relation med databehandlere Case: E-mail marketing Art. 29-gruppens guidelines (WP169) ABC virksomhed indgår en aftale med et marketingbureau om at udsende markedsføringsmateriale pr. e-mail ABC beslutter at marketingaktiviteterne skal finde sted hvilket materiale der skal sendes ud og til hvem Bureauet beslutter hvilket software der skal anvendes til udsendelserne Er bureauet dataansvarlig eller databehandler? 25
Sikkerhed Artikel 32 Passende tekniske og organisatoriske sikkerhedstiltag Risikoanalyse Behandling af personoplysninger skal ske under anvendelse af et tilstrækkeligt sikkerhedsniveau, som fastsættes under hensyntagen til de tekniske muligheder, omkostningerne samt karakteren af behandlingen, behandlingens omfang og formål samt risikoen for den registrerede Sikkerhedstiltag kan bl.a. omfatte pseudonymisering og kryptering sikring af systemers/processers fortrolighed, integritet, tilgængelighed, modstandsdygtighed tilstrækkelige mekanismer til gendannelse af data jævnlige tests, vurderinger og evalueringer af effektiviteten af sikkerhedsforanstaltningerne mv. Artikel 35: DPIA Hvis behandlingen medfører høj risiko, skal der udføres en konsekvensanalyse Høj risiko F.eks. behandling i stort omfang af særlige kategorier af oplysninger eller af personoplysninger vedrørende straffedomme og lovovertrædelser Området for, hvornår konsekvensanalyser er påkrævet er snævert 26
Sikkerhed hos databehandleren Hvad med sikkerhed, når behandlingen varetages af en databehandler? Databehandleren må kun handle efter dokumenteret instruks Databehandleren er ansvarlig for egne sikkerhedsbrud Den dataansvarlige kan holdes medansvarlig afhængig af hvilke instrukser den dataansvarlige har udstedt i hvilket omfang den dataansvarligt har undersøgt og kontrolleret databehandlerens sikkerhedsforanstaltninger Den dataansvarlige skal indgå en databehandleraftale med databehandleren Aftalens indhold er reguleret i forordningen og omfatter bl.a.: Databehandleren skal implementere de nødvendige og passende sikkerhedsforanstaltninger Databehandleren skal stille de nødvendige oplysninger til rådighed for, at den dataansvarlige kan undersøge databehandlerens sikkerhed Databehandleren skal lade den dataansvarlige inspicere sikkerheden Den dataansvarlige skal foretage tre former for kontrol Forudgående kontrol løbende kontrol efterfølgende kontrol 27
Sikkerhedsbrud Hvad sker der, hvis alle marketingdata kompromitteres? 1 Sikkerhedsbrud Kendskab til sikkerhedsbrud Eventuel databehandler underretter straks dataansvarlig Nye krav om underretningen inden for bestemte tidsfrister 2 Undersøgelse og beskrivelse Undersøgelser og beskrive kategorier af data, antal af registrerede, kontaktoplysninger, foranstaltninger, konsekvenser for registrerede, mv. 3 Anmeldelse til Datatilsynet Den dataansvarlige anmelder tilsynsmyndigheden senest 72 timer efter kendskab Evt. trinvist hvis det ikke er muligt at give oplysningerne samlet 4 Underretning til registrerede Den dataansvarlige underretter den registrerede, hvis sikkerhedsbruddet indebærer en høj risiko 5 Fortegnelse Tilføje til fortegnelsen over sikkerhedsbrud 28
Klar, parat, start GDPR i 3 step Step 1 Dataflow analyse Projektplanlægning Ressourcer Identifikation af processer Interviews / spørgeskemaer Step 2 Gap-analyse Juridisk gennemgang af svar på interviews Valg af compliance tiltag og prioritering Udarbejdelse og ændringer, fx samtykker, privatlivspolitikker, mv. Forhandlinger med databehandlere/dataansvarlige og leverandører af IT-systemer Step 3 Compliance og dokumentation Udarbejdelse af art. 30-dokumentation Implementering af tiltag Træning af medarbejdere Audits (interne og eksterne) 29
KONTAKTDETALJER Pia Kirstine Voldmester, Partner IP, markedsføring & persondataret Direkte tlf. 26 86 64 28 E-mail pkv@bruunhjejle.dk 30