PERSONDATAFORORDNINGEN DRF s årsmøde, april 2017
Historik Hvad er persondataloven? Nuværende lov i DK fra nr. 421 af 31. maj 2000 Gammel EU lovgivning fra 1990 erne Rdir 95/46 om beskyttelse af fysiske personer ifm behandling af personoplysninger og om fri udveksling af sådanne oplysninger Formålet Direktivet er vedtaget med det sigte at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder Retten til privatlivets fred i forbindelse med behandling af personoplysninger Fjerne hindringerne for udveksling af personoplysninger inden for Fællesskabets område
Behov for opdatering af reglerne Datamængdernes omfang konstant stigende EMC vil det digitale univers være ti gange større end i dag i 2020 I 2014 producerer en husstand i gennemsnit 2080 GB data I 2020 vil hver husstand producerer over 10.000 GB data Hvert andet år fordobles den samlede mængde af data Medfører nye datatyper, registreringstyper mm. Teknologiske udvikling Muliggør tilgang til Big data Større mulighed for at sammenkøre data Ny kommunikationsformer Nye platforme og medier/applikationer/devices
Behov for opdatering af reglerne Globaliseringen Udbredelsen og anvendelsen af internettet Øget dataudveksling på tværs af landegrænser Større mulighed for at misbrug af data Revolution eller evolution? Lever man op til nuværende regler? Nej så er det nu, man skal i gang. Kan vi nå det? Hvad sker der, hvis vi ikke er på plads?
Den nye forordning Det går ikke hurtigt i EU Været undervejs i EU gennem mange år Kommissionen fremsatte forslaget i 2012 Herefter behandlet i Parlamentet i 4 år Svært at nå til enighed Over 4000 ændringsforslag har været til forhandling Parlamentet vedtager revideret forordning april 2016 Reglerne er trådt i kraft Virkning (sanktioneret) fra 25 maj 2018
Så hvad er nyt? Krav om kortfattede, gennemsigtige og lettilgængelige regler for behandlingen af data og udøvelse af den registreredes rettigheder Skærpede krav til dokumentation for samtykke Krav til indholdet af databehandleraftalerne Styrkelse af den registreredes rettigheder Right to be forgotten skal blive lettere/dataportabilitet
Så hvad er nyt? Accountability (generelle dokumentationskrav til at man overholder reglerne) Krav om standardiserede informationspolitikker til behandling af indsigtsbegæringer Databehandlere underlægges næsten samme ansvar som dataansvarlige Visse virksomheder skal have en DPO (data protection officer) Pligt til at lave risikoanalyser og evt konsekvensanalyser. Bødestørrelserne Hidtidig praksis op til 25.000 kr. Forordningen op til 20 mio.
Hvad er persondata? Enhver information, der kan henføres til en bestem fysisk person Biometriske oplysninger Politisk tilhørsforhold Handicap Telefonnummer E-mail adresse Stilling Kreditkortnummer MAC Adresse IP Adresse Løn Køn Familiemæssige oplysninger Sociale problemer Nummerplade GPS oplysninger Helbredsoplysninger Uddannelse Religiøs overbevisning Pasnummer Adresse Statsborgerskab CPR NR Seksuel overbevisning Elektroniske spor Fødselsdato Rejseoplysninger Foto
Hvilken indflydelse på rejsebranchen? Stor indflydelse på rejsebranchen Rejsebureauer behandler rigtig mange personoplysninger Også oplysninger, der betragtes som følsomme og fortrolige Mange oplysninger videregives til underleverandører Mange underleverandører er ikke etableret i EU
Hvad skal I gøre nu? Foretag analyse af, hvilke ændringer, der har størst indflydelse? F.eks. indførelsen af de skærpede dokumentationskrav for samtykke Hvilke personoplysninger behandles i rejsebureauet? Få et overblik over alle typer af databehandling Gennemgå alle datastrømme (drift, sagsgange, bookingflow) Videregives data til 3. part? Hvordan opbevarer I jeres data? Hvordan minimeres jeres risici; for datasikkerhedsbrister ulovlige behandlinger unødig opbevaring af personoplysninger.
Hvad skal I gøre nu? Få overblik over jeres leverandører Rejsebureauerne er dataansvarlig i mange henseender Når data sendes videre i systemet vil jeres leverandører ofte være databehandlere Undersøg alle jeres underleverandører Har de iværksat tiltag for at leve op til reglerne Har I databehandleraftaler med alle? Sørg for at kunne dokumentere jeres tiltag Forordningens krav er kun efterlevet, hvis efterlevelsen er dokumenteret (accountability) Det vil sige, at den dataansvarlige skal kunne indestå for og dokumentere reglernes efterlevelse.
Hvad gør DRF? DRF har nedsat en arbejdsgruppe bestående af; Repræsentanter fra både CTO og LTO Repræsentanter med B2B og B2C erfaringer Repræsentanter fra små, mellemstore og store rejsebureauer Arbejdsgruppen skal; Identificere rejsebranchens særlige udfordringer Målsætning Afholde en række workshops i DK det kommende halvår Første workshops afholdes 9. juni i Århus og 14. juni i København Udarbejde standarddokumenter (databehandleraftale, samtykkeerklæringer) Klæde DRF s medlemmer bedst muligt på, så behovet for individuel ekstern konsulentbistand minimeres
Spørgsmål eller kommentarer????