EU s Persondataforordning - Håndtering af kundedata. DI s konference, torsdag den 15. juni 2017 Pia Kirstine Voldmester, advokat (H) og partner

Relaterede dokumenter
Håndtering af personoplysninger ved salg og markedsføring

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Ecofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager

DANVA, Dansk Vand- og Spildevandsforening. Godthåbsvej Skanderborg. og

N. Zahles Skole Persondatapolitik

Persondataforordningen

EU Persondataforordning GDPR

Overblik over persondataforordningen

Introduktion til persondataforordning

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Persondatapolitik for Aabenraa Statsskole

Persondatapolitik Vordingborg Gymnasium & HF

EN DAG OM PERSONDATAFORORDNINGEN. STU Foreningen. 7. december 2017

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Thea Præstmark WW W W W.SKA W UR.SKA EIP UR UR EIP TH UR. TH C. OM C

Persondatapolitik for Tørring Gymnasium 2018

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Velkommen til seminar om Persondataforordningen. Den 16. maj 2018.

Persondata politik for GHP Gildhøj Privathospital

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Persondatapolitik på Gentofte Studenterkursus

opfylde vores kontraktuelle forpligtelser over for dig, samt at

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Formålet med denne retningslinje er at sikre, at Ringkjøbing Gymnasium udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

Retningslinje om behandlingsgrundlag (hjemmel)

I KORT FORM FORORDNINGEN GDPR PERSONDATA PERSONDATA FORORDNINGEN

Dine rettigheder, når regionen behandler oplysninger om dig

Persondatapolitik for Odense Katedralskole

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Formålet med denne retningslinje er at sikre, at Nykøbing Katedralskole udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2 BEHANDLINGSGRUNDLAG... 3 KONTROL OG DOKUMENTATION... 8

Vi har udarbejdet en særlig fortegnelse over vores databehandlingsaktiviteter. Denne fortegnelse indeholder:

Persondatapolitikken er godkendt på Vesthimmerlands Gymnasium og HF s bestyrelsesmøde den 25. juni 2018

Retningslinje om behandlingsgrundlag (hjemmel)

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Fysiske personer. Vi ved jo alle, hvad en person er. Det er sådan en som os selv (Peter Blume: Databeskyttelsesret, 4. udg., 2013, s. 30f.

Ny Persondataforordning mv.

Retningslinje om de registreredes rettigheder

Formålet med denne retningslinje er at sikre, at Nakskov Gymnasium og HF udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

Selskabet har efter lovgivningen pligt til at informere dig om, hvordan Selskabet behandler og videregiver personoplysninger.

Birgitte Toxværd Bruun & Hjejle

Persondataforordningen. Hvad kan vi bruge KITOS til?

Behandlingsgrundlag Horsens Statsskole

Borgerens rettigheder, når regionen behandler personoplysninger

Databeskyttelsesforordningspolitik

Retningslinje om dataansvarlig/databehandler

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2

Databehandlervilkår. 1: Baggrund, formål og definitioner

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

PERSONDATABESKYTTELSESPOLITIK FOR ADVOKATFIRMAET KRARUP

Formålet med denne retningslinje er at sikre, at Midtfyns Gymnasium udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

Retningslinje om behandlingsgrundlag

Databeskyttelsespolitik for advokatanpartsselskabet Vibeke Westergaard

Almindelig viden om persondataforordningen

Databeskyttelsesforordningen og dansk forskning. v/ chefkonsulent Kim Taasby & jurist Anahita Khatam-Lashgari 24. maj 2018

PERSONDATAFORORDNINGEN APRIL 2018

Rammer og vilkår for brug af data. 25. oktober 2016 Afdelingschef Birgitte Drewes,

September Indledning

Politik for beskyttelse og behandling af personoplysninger

Uddrag af lov om behandling af personoplysninger

Datastrømsanalyse - Kundedata

Persondataloven i en Smart City kontekst. Alexander Tureczek, Ph.d. candidate

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Privatlivspolitik. Odense LMU

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

BILAG 14: DATABEHANDLERAFTALE

Persondataforordning din dig din

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Behandling af personoplysninger

Konferencer og seminarer - markedsføring og personoplysninger. Nana Louw & Linda Tørngren Henriksen

Privatlivspolitik. Generelt. Typer af personoplysninger. Formål og typer af personoplysninger. Automatiserede, individuelle beslutninger (profilering)

DATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.

POLITIK FOR DATABESKYTTELSE

Procedure for håndtering af personoplysninger - GDPR Denne udgave: /TW

Hvordan er det med datasikkerhed og privacy? Highlights fra persondataloven Århus, d. 14. marts 2017 Erika Wolf, jurist, Sundhedsdatastyrelsen

Standardvilkår. Databehandleraftale

GML-HR A/S CVR-nr.:

Vilkår for behandling af personoplysninger

PERSONDATAPOLITIK FOR ORDET OG ISRAEL

DATABEHANDLERAFTALE Version 1.1a

Randers FCs Persondatapolitik, inkl. Din ret til indsigelse mod behandlingen af dine personoplysninger

Retningslinje om ansvarsfordeling - dataansvarlig vs. databehandler

Persondatapolitik for Backhausen A/S behandling af personoplysninger

Tjekliste til databehandleraftaler

Y s MEN INTERNATIONAL. Region Danmark

"forordningen" i det følgende) og gælder for alle ansatte på Midtfyns Gymnasium, der behandler personoplysninger.

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Retningslinje om de registreredes rettigheder

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du

PERSONDATAPOLITIK FOR DANSK TOURETTE FORENING

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Uddrag af persondataloven

Persondatapolitik. Dataansvarlig Paarup Hansen ApS Enghaven Roskilde Danmark CVR-nr.:

PERSONDATAPOLITIK FOR AXIS

Transkript:

EU s Persondataforordning - Håndtering af kundedata DI s konference, torsdag den 15. juni 2017 Pia Kirstine Voldmester, advokat (H) og partner

Mød Esben! (Hipster)mand 31 år Kandidatgrad i humanistisk informatik Bor i andelslejlighed på Vesterbro Onlinesøgninger med interesse for oplevelsesrejser, adventuresport, festivaler, rombarer, mikrobryggerier og mærketøj Ingen onlinesøgninger relateret til småbørn eller smykker til kvinder Hans IPhone7 opholder sig ofte omkring Sønder Boulevard eller i Kødbyen torsdag, fredag og lørdag aften (så det gør Esben nok også)

Baseret på vores viden om Esben, hans præferencer og andre mænd som ham er Esben i målgruppen for Rejser til rom-kolonierne i Caribien Mountainbike-tur til Åre i Sverige Streaming-serier om amerikansk politik Upcoming skandinaviske designere og sneaks er Esben uinteresseret i Badeferier til all-inclusive familiehotel Romantiske blockbustere er Esben i risikogruppen for Sportsskader Leverskader (?)

Introduktion til forordningen og grundlæggende begreber Grundlæggende principper og behandlingsregler Den registreredes rettigheder herunder profilering Databehandlere, sikkerhed og dokumentation 4

Status på Databeskyttelsesforordningen pr. 15. juni 2017 24. maj 2016 24. maj 2017 13. juni 2017 September 2017 januar 2018 Oktober 2017 25. maj 2018 Ikrafttræden Justitsministeriets publikation fremlægges Justitsministeriets stormøde Justitsministeriets vejledninger udkommer løbende Danske lovforslag fremsættes Forordningen finder anvendelse Beskedent fokus på persondatalovgivning Næsten ingen håndhævelse, ligegyldigt bødeniveau Fokus på informationssikkerhed Under et år tilbage Indtil nu Samme regler i hele EU/EØS (men mange nationale særregler) Mange nye proces- og dokumentationskrav Game changer Op til 10-20 mio. eller 2-4 % af den årlige globale omsætning 5

Anvendelsesområde Persondataforordningen Registrerede personer Fysiske personer (uanset nationalitet og bopæl) f. eks. medarbejdere, direktører, bestyrelsesmedlemmer, kunder, medlemmer, brugere og samhandelspartnere Forordningen beskytter ikke juridiske personer Bortset fra enkeltmandsvirksomheder og virksomheder etableret i interessentskaber Hvem skal overholde forordningen? Private virksomheder (uanset selskabsform) Offentlige myndigheder Organisationer Private personer skal ikke overholde reglerne, når der er tale om rent personlige og familiemæssige aktiviteter 6

Basale definitioner Personoplysning og behandling Hvad er personoplysninger? Enhver form for information om en identificeret eller identificerbar fysisk person ( den registrerede ) Ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet Hvad er en behandling? Enhver aktivitet eller række af aktiviteter med eller uden brug af automatisk behandling som personoplysninger eller en samling af personoplysninger gøres til genstand for F.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse Elektronisk behandling af personoplysninger Manuel behandling af personoplysninger i et register 7

Basale definitioner Personoplysninger Almindelige personoplysninger Navn, adresse, indkomst og formueforhold, civilstand, mv. Alle andre oplysninger end de særlige kategorier (f.eks. er almindelige oplysninger også personlighedstest, skilsmisser, bortvisninger, gæld og restancer mv.) Særlige kategorier af personoplysninger Racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold (ikke A-kasse), helbredsmæssige og seksuelle forhold Genetiske og biometriske data, ved behandling mhp. identifikation Straffeattester mv. Behandling for private virksomheder kræver lovhjemmel Samtykkets skæbne uvis CPR-nr. Persondatalovens 11 videreføres formentlig Behandling hvis fastsat i lov eller udtrykkeligt samtykke Ingen offentliggørelse uden udtrykkeligt samtykke 8

Introduktion til forordningen og grundlæggende begreber Grundlæggende principper og behandlingsregler Den registreredes rettigheder herunder profilering Databehandlere, sikkerhed og dokumentation 9

Basale definitioner Grundlæggende principper for al behandling Ansvarlighed Den dataansvarlige skal kunne dokumentere, at principperne overholdes Lovlighed, rimelighed og gennemsigtighed Lovlig, rimelig og gennemsigtig over for den registrerede Datakvalitet Oplysningerne skal være rigtige og om nødvendigt ajourførte Der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige, omgående slettes eller berigtiges Formålsbegrænsning Indsamling af oplysninger skal ske til udtrykkeligt angivne og legitime formål, og senere behandling må ikke være uforenelig med disse formål. Statistiske formål (mv.) som udgangspunkt forenelige (artikel 89) Sletning Oplysningerne skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end formålet tilsiger Muligheder for opbevaring med henblik på statistiske formål mv. (art. 89) Dataminimering Oplysningerne skal være relevante, tilstrækkelige og begrænset til hvad der er nødvendigt i forhold til formålene Kan vi nå formålet med færre oplysninger? Integritet og fortrolighed Tilstrækkelig sikkerhed for personoplysninger, herunder mod ubemyndiget eller ulovlig behandling og mod hændeligt tab, ødelæggelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger 10

Behandling af almindelige personoplysninger Artikel 6 Juridisk grundlag for behandling af almindelige personoplysninger Behandlingsgrundlag a) Den registreredes samtykke til et eller flere konkrete formål b) Nødvendig for udførelsen af en kontrakt hvori den registrerede er part (eller skridt forud for indgåelse af kontrakt) c) Nødvendig for at opfylde en retlig forpligtelse der gælder for den dataansvarlige d) Nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser e) Nødvendig ift. udførelsen af en opgave i samfundets interesse f) Nødvendig for at den dataansvarlige eller en tredjemand kan forfølge en berettiget interesse medmindre hensynet til den registreredes fundamentale rettigheder og friheder overstiger denne interesse, især når den registrerede er et barn 11

Behandling af særlige kategorier af personoplysninger Artikel 9 Juridisk grundlag for behandling af særlige kategorier af personoplysninger Behandlingsgrundlag a) Den registreredes udtrykkelige samtykke til specifikke formål b) Den dataansvarliges forpligtelser iht. lov eller overenskomst på arbejds- og socialområdet c) Den registreredes eller en anden persons vitale interesser hvor ej i stand til at give samtykke Racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, helbredsmæssige og seksuelle forhold Genetiske og biometriske data, ved behandling mhp. identifikation d) Politiske, filosofiske, religiøse eller faglige foreninger når legitime aktiviteter mv. e) Personoplysninger er tydeligvis offentliggjort af den registrerede f) Nødvendig ift. at retskrav fastslås, gøres gældende eller forsvares g) Nødvendig ift. væsentlige samfundsinteresser med hjemmel i lov h) Nødvendig ift. behandling inden for sundhedssektoren mv. Husk særlovgivning som f.eks. helbredsoplysningsloven, forskelsbehandlingsloven, foreningsfrihedsloven mv. i) Nødvendig ift. samfundsinteresser på folkesundhedsområdet j) Arkivering i samfundets interesse eller til bl.a. statistiske formål (jf. art. 89) 12

Samtykke som behandlingsgrundlag Artikel 6 og 9 artikel 7 Kravene til samtykke skærpes Permissions Et samtykke skal være 1. Frivilligt Et reelt frit valg Kan trækkes tilbage (hvorefter data skal slettes!) Separat samtykke til forskellige databehandlinger Gennemførelse af en kontrakt eller levering af en service må ikke betinges af samtykke til behandling eller brug af oplysninger, som ikke er nødvendige for gennemførelsen af kontrakten 2. Specifikt 3. Informeret 4. Utvetydigt (udtrykkeligt for følsomme oplysninger) Samtykket skal være tydeligt adskilt fra øvrig tekst (f.eks. ikke indeholdt i almindelige betingelser for brug af netbank, kundeaftaler osv.) Samtykker til forskellige formål må ikke puljes Systemer skal indrettes, så der sikres opsamling og opbevaring af dokumentation (dokumentationskrav) Opdatering af nuværende samtykkeformularer- og metoder Forældre/værge samtykke for børn ved brug af informationssamfundstjenesteydelser 13

Samtykkets begrænsninger i markedsføringssammenhæng Eksempler Du kan kun Konkurrence Markedsføring.. deltage i konkurrencen, hvis du giver samtykke til, at vi kan behandle dine personoplysninger til brug for markedsføring. Abonnement Markedsføring.. tegne et abonnementet, hvis du giver samtykke til, at vi kan behandle dine personoplysninger til brug for markedsføring.! Abonnement Produktudvikling.. tegne et abonnement, hvis du giver samtykke til, at vi kan behandle dine personoplysninger for at videreudvikle vores produkter.! For almindelige oplysninger: Overvej interesseafvejning Produkt Nødvendighed.. købe vores bio-hyggepakke med automatisk klargøring af alt det, du bedst kan li, hvis du giver samtykke til, at vi kan behandle dine personoplysninger for at finde frem til dine slik- og sodavandsfavoritter 14

Introduktion til forordningen og grundlæggende begreber Grundlæggende principper og behandlingsregler Den registreredes rettigheder herunder profilering Databehandlere, sikkerhed og dokumentation 15

Den registreredes rettigheder Persondataforordningen artikel 12-22 Oplysningspligt (udvidet) Ret til uden forespørgsel at blive oplyst om behandling af oplysninger om ham/hende Indsigt (udvidet) Ret til på forespørgsel at få indsigt i hvilke oplysninger den dataansvarlige behandler om ham/hende selv Berigtigelse Ret til at få urigtige oplysninger berigtiget Sletning Ret til at få slettet oplysninger om ham/hende selv ( retten til at blive glemt ) Begrænsning (ny) Ret til at kræve begrænsning af behandling ( blokering ) i en periode Dataportabilitet (ny) Ret til at få oplysninger afgivet af vedkommende selv med til en ny leverandør Klart og enkelt sprog, tidsfrister mv. Indsigelse Ret til at gøre indsigelse mod behandling af hans/hendes personoplysninger Automatisk individuel beslutningstagning Ret til ikke at blive underlagt automatisk, individuel beslutningstagning 16

Indsigelse mod direkte markedsføring Persondataforordningen artikel 21 Ubetinget ret til at gøre indsigelse mod direkte markedsføring Behandling af personoplysninger til direkte markedsføring kan ske på baggrund af interesseafvejningsreglen Den registrerede har til enhver tid ret at gøre indsigelse mod behandling af sine personoplysninger, herunder profilering, baseret på interesseafvejningsreglen Personoplysningerne kan fortsat behandles, hvis den dataansvarlige har vægtige legitime grunde til behandlingen, der overstiger den registreredes interesser Den registrerede til enhver tid ret til at gøre indsigelse mod behandling af sine personoplysninger til direkte markedsføring, herunder at gøre indsigelse mod profilering, i det omfang den vedrører direkte markedsføring Personoplysningerne kan ikke længere behandles til direkte markedsføring (inkl. profilering med henblik på direkte markedsføring) ----------------------------------------------------------------------------------------------- Den registrerede skal udtrykkeligt gøres opmærksom på disse rettigheder senest på tidspunktet for den første kommunikation Oplysninger skal meddeles klart, utvetydigt og adskilt fra alle andre oplysninger 17

Profilering Definition - artikel 4(4) Hvad er profilering? Enhver form for automatisk behandling af personoplysninger, der består i at anvende personoplysninger til at evaluere bestemte personlige forhold vedrørende en fysisk person, navnlig for at analysere eller forudsige forhold vedrørende den fysiske persons arbejdsindsats økonomiske situation helbred personlige præferencer pålidelighed adfærd geografisk position bevægelser interesser Eksempler Personlighedstest af jobansøgere Automatisk lønafregning i forhold til tidsregistrering ved brug af stempelkort eller lign. Udstedelse af advarsel til medarbejder på grund af for sent fremmøde, idet tidsregistreringssystem gav meddelelse herom 18

Automatiske individuelle afgørelser og profilering Artikel 22 Den registrerede har ret til ikke at blive underlagt afgørelser, som alene er baseret på automatisk behandling af personoplysninger, herunder profilering Undtagelser De registrerede kan underlægges afgørelser, som udelukkende er baseret på automatisk behandling af personoplysninger, herunder profilering, hvis: Afgørelsen er hjemlet i lokal lov Beslutningen er nødvendig for kontraktindgåelse eller opfyldelse Den registrerede har givet sit udtrykkelige samtykke Hvis baseret på kontraktsopfyldelse eller udtrykkeligt samtykke, har den registrerede følgende rettigheder: Ret til menneskelig intervention fra dataansvarlig Ret til at den registrerede kan udtrykke sin holdning og udfordre afgørelsen Følsomme oplysninger må kun behandles i forbindelse med automatiske individuelle afgørelser og profilering, hvis den registrerede har givet sit udtrykkeligt samtykke eller behandlingen sker som følge af en offentlig interesse (dvs. ikke kontrakt) 19

Behandling af personoplysninger Transparens, oplysningspligt, begrænsning i brug af data osv. Cross device tracking Indsamling og behandling af personoplysninger skal ske efter et need to know-princip (ikke nice to know) Transparens Den registrerede skal have lettere kontrol med egne personoplysninger Udtrykkeligt krav om gennemsigtighed: Den registrerede skal i langt højere grad end i dag have oplysninger om behandlingen af personoplysningerne Kravet gælder i vidt omfang allerede i dag i medfør af persondatalovens behandlingsprincipper og god databehandlingsskik Informationen skal være lettilgængelig og letforståelig Begrænsning i brug af data Personoplysningerne skal være tilstrækkelige, relevante og begrænset til det nødvendige Behandlingen af den registreredes personoplysninger skal være mindst muligt integritetskrænkende Personoplysninger bør kun behandles, hvis formålet med behandlingen ikke kan opfyldes på anden måde 20

Vigtigt, når man behandler personoplysninger til markedsføring Hvad skal marketing huske, når der behandles personoplysninger i forbindelse med leadgenerering og kampagner? Samtykke som behandlingsgrundlag Er der indhentet et gyldigt samtykke? Kan behandlingen med fordel baseres på et andet grundlag end samtykke? Oplysningspligten Har den registrerede fået oplyst, at personoplysninger anvendes i forbindelse med markedsføring, herunder profilering? Har den registrerede fået oplysninger om retten til at frabede sig behandlingen af personoplysninger til markedsføringsformål? De grundlæggende behandlingsprincipper Behandles personoplysningerne i overensstemmelse med de grundlæggende behandlingsprincipper? Er de nødvendige og passende sikkerhedsforanstaltninger implementeret? Involvering af tredjeparter Husk risikovurdering og databehandleraftaler 21

Introduktion til forordningen og grundlæggende begreber Grundlæggende principper og behandlingsregler Den registreredes rettigheder herunder profilering Databehandlere, sikkerhed og dokumentation 22

Dataansvarlig og databehandler Hvorfor er det vigtigt, hvem der er hvad? Den dataansvarlige træffer beslutning om behandlingsform, -formål, og - omfang Databehandleren følger beslutningerne, men har et - begrænset råderum Kravene til den dataansvarliges art. 30-dokumentation er mere omfattende En dataansvarlig skal f.eks. 1. foretage pre-audit af databehandleren 2. indgå en skriftlig aftale med lovpligtigt indhold med databehandleren 3. løbende auditere databehandleren i aftaleforholdet En databehandler skal f.eks. 1. stille sig til rådighed for inspektioner og audits 2. indgå underdatabehandleraftaler med sine leverandører 3. give information til dataansvarlig f.eks. ved sikkerhedsbrud 4. bidrage til dataansvarliges konsekvensanalyser 23

GDPRs tidslinje for brug af databehandlere 1. 2. 3. 4. Pre-audit af databehandler Vurdering af, om databehandleren kan stille fornødne garantier Skriftlig databehandleraftale Løbende audits af databehandler 24

Eksempel på relation med databehandlere Case: E-mail marketing Art. 29-gruppens guidelines (WP169) ABC virksomhed indgår en aftale med et marketingbureau om at udsende markedsføringsmateriale pr. e-mail ABC beslutter at marketingaktiviteterne skal finde sted hvilket materiale der skal sendes ud og til hvem Bureauet beslutter hvilket software der skal anvendes til udsendelserne Er bureauet dataansvarlig eller databehandler? 25

Sikkerhed Artikel 32 Passende tekniske og organisatoriske sikkerhedstiltag Risikoanalyse Behandling af personoplysninger skal ske under anvendelse af et tilstrækkeligt sikkerhedsniveau, som fastsættes under hensyntagen til de tekniske muligheder, omkostningerne samt karakteren af behandlingen, behandlingens omfang og formål samt risikoen for den registrerede Sikkerhedstiltag kan bl.a. omfatte pseudonymisering og kryptering sikring af systemers/processers fortrolighed, integritet, tilgængelighed, modstandsdygtighed tilstrækkelige mekanismer til gendannelse af data jævnlige tests, vurderinger og evalueringer af effektiviteten af sikkerhedsforanstaltningerne mv. Artikel 35: DPIA Hvis behandlingen medfører høj risiko, skal der udføres en konsekvensanalyse Høj risiko F.eks. behandling i stort omfang af særlige kategorier af oplysninger eller af personoplysninger vedrørende straffedomme og lovovertrædelser Området for, hvornår konsekvensanalyser er påkrævet er snævert 26

Sikkerhed hos databehandleren Hvad med sikkerhed, når behandlingen varetages af en databehandler? Databehandleren må kun handle efter dokumenteret instruks Databehandleren er ansvarlig for egne sikkerhedsbrud Den dataansvarlige kan holdes medansvarlig afhængig af hvilke instrukser den dataansvarlige har udstedt i hvilket omfang den dataansvarligt har undersøgt og kontrolleret databehandlerens sikkerhedsforanstaltninger Den dataansvarlige skal indgå en databehandleraftale med databehandleren Aftalens indhold er reguleret i forordningen og omfatter bl.a.: Databehandleren skal implementere de nødvendige og passende sikkerhedsforanstaltninger Databehandleren skal stille de nødvendige oplysninger til rådighed for, at den dataansvarlige kan undersøge databehandlerens sikkerhed Databehandleren skal lade den dataansvarlige inspicere sikkerheden Den dataansvarlige skal foretage tre former for kontrol Forudgående kontrol løbende kontrol efterfølgende kontrol 27

Sikkerhedsbrud Hvad sker der, hvis alle marketingdata kompromitteres? 1 Sikkerhedsbrud Kendskab til sikkerhedsbrud Eventuel databehandler underretter straks dataansvarlig Nye krav om underretningen inden for bestemte tidsfrister 2 Undersøgelse og beskrivelse Undersøgelser og beskrive kategorier af data, antal af registrerede, kontaktoplysninger, foranstaltninger, konsekvenser for registrerede, mv. 3 Anmeldelse til Datatilsynet Den dataansvarlige anmelder tilsynsmyndigheden senest 72 timer efter kendskab Evt. trinvist hvis det ikke er muligt at give oplysningerne samlet 4 Underretning til registrerede Den dataansvarlige underretter den registrerede, hvis sikkerhedsbruddet indebærer en høj risiko 5 Fortegnelse Tilføje til fortegnelsen over sikkerhedsbrud 28

Klar, parat, start GDPR i 3 step Step 1 Dataflow analyse Projektplanlægning Ressourcer Identifikation af processer Interviews / spørgeskemaer Step 2 Gap-analyse Juridisk gennemgang af svar på interviews Valg af compliance tiltag og prioritering Udarbejdelse og ændringer, fx samtykker, privatlivspolitikker, mv. Forhandlinger med databehandlere/dataansvarlige og leverandører af IT-systemer Step 3 Compliance og dokumentation Udarbejdelse af art. 30-dokumentation Implementering af tiltag Træning af medarbejdere Audits (interne og eksterne) 29

KONTAKTDETALJER Pia Kirstine Voldmester, Partner IP, markedsføring & persondataret Direkte tlf. 26 86 64 28 E-mail pkv@bruunhjejle.dk 30

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback