Overblik over persondataforordningen November 2016 2 Sanktioner Overtrædelsestype: Indhentning af samtykke ift. børn Behandlinger, som ikke kræver identifikation Data protection by Design/Default Delt dataansvar Repræsentanter for dataansvarlige etableret udenfor EU Databehandlere Databehandlerinstruks Dokumentation for datastrømme Samarbejde med tilsynsmyndigheden Sikkerhedsforanstaltninger Notifikation Data Protection Impact Assessment Forudgående underretning af tilsynsmyndighed Udpegning af DPO (herunder krav, stilling og opgaver) Certificering Offentlige myndigheder** Bødeniveau*: Private virksomheder Op til EUR 10.000.000 Op til EUR 10.000.000 eller 2 % af virksomhedens årlige globale omsætning (den højeste af de to) * Danmark har særregler, så bøder bliver strafferetlige i stedet for administrative ** Medlemsstaterne kan selv beslutte om og i hvilken udstrækning administrative bøder kan pålægges offentlige myndigheder 1
3 Sanktioner Overtrædelsestype: Grundlæggende principper for behandling Grundlag for behandling (både almindeligeog følsomme oplysninger) Betingelser for samtykke Registreredes rettigheder Sikkerhedsforanstaltninger Offentlige myndigheder** Bødeniveau*: Private virksomheder Op til EUR 20.000.000 Op til EUR 20.000.000 eller 4 % af virksomhedens årlige globale omsætning (den højeste af de to) * Danmark har særregler, så bøder bliver strafferetlige i stedet for administrative ** Medlemsstaterne kan selv beslutte om og i hvilken udstrækning administrative bøder kan pålægges offentlige myndigheder 4 Status på processen mod forordningens ikrafttrædelse Hvad ligger fast? Teksten i forordningen En dansk version af forordningsteksten Den endelige vedtagelse ikrafttrædelse den 25. maj 2018 Udestående Hvad vælger Danmark (og de andre medlemsstater) at gøre på områder, hvor medlemsstaterne har frihedsgrader? Hvornår begynder Kommissionen at vedtage delegerede retsakter? Hvornår begynder de relevante organer (herunder de store tilsynsmyndigheder) at komme med fortolkningsbidrag? 2
Oplysningskategorier Almindelige oplysninger Semi-følsomme oplysninger Følsomme oplysninger Cpr-nr. Persondataloven Fx Personnavn Adresse E-mail Oplysninger om strafbare forhold Sociale problemer Andre rent private forhold end følsomme oplysninger Racemæssig eller etnisk baggrund Politisk, religiøs eller filosofisk overbevisning Fagforeningsmæssige tilhørsforhold Oplysninger om helbredsmæssige eller seksuelle forhold Offentlige myndigheder: Mhp. entydig identifikation/journalnummer Private virksomheder: Lovbestemmelse/samtykke Aldrig offentliggørelse uden samtykke Persondataforordningen Også Oplysninger om strafbare forhold * Sociale problemer Andre rent private forhold end følsomme oplysninger Racemæssig eller etnisk baggrund Politisk, religiøs eller filosofisk overbevisning Fagforeningsmæssige tilhørsforhold Behandling af genetiske eller biometriske data med henblik på unik identifikation Oplysninger om helbredsmæssige eller seksuelle forhold Medlemsstater kan fastsætte specielle betingelser, dog krav om tilstrækkelige sikkerhedsforanstaltninger 6 Right to be forgotten Ret til sletning Oplysningerne er ikke længere nødvendige i forhold til formålet med indsamling og behandling, bl.a. Tilbagekaldelse af samtykke eller manglende retligt grundlag Den registrerede modsætter sig behandlingen og ingen tungtvejende legitime grunde til fortsat behandling 3
Accountability dokumentationskrav Den dataansvarlige skal kunne dokumentere compliance med forordningen Både dataansvarlige (og databehandlere) skal opbevare dokumentation for enhver behandling af personoplysninger (gælder ikke for virksomheder med under 250 ansatte) Dokumentationen skal mindst omfatte: Navn og kontaktoplysninger på den dataansvarlige eller den fælles dataansvarlige og dennes eventuelle repræsentant samt evt. DPO Formålene med behandlingen Beskrivelse af kategorier af registrerede og kategorier af personoplysninger Kategorier af modtagere af personoplysningerne Evt. overførsel af personoplysninger til et tredjeland, herunder identifikation af dette tredjeland, og dokumentation af fornødne garantier ved overførsel til ikke-sikre tredjelande En generel angivelse af tidsfristerne for sletning af de forskellige kategorier af personoplysninger Hvis muligt, en beskrivelse de tekniske og organisatoriske sikkerhedsforanstaltninger 8 Krav til databehandlere selvstændige krav til dokumentation mv. Databehandlere underlagt langt strengere krav end efter persondataloven, bl.a. Næsten identiske dokumentationskrav som dataansvarlige Den dataansvarlige skal kun bruge databehandlere, der giver tilstrækkelige garantier vedr. implementering af passende tekniske og organisatoriske foranstaltninger, så behandlingen sker i overensstemmelse med forordningens krav og sikrer beskyttelse af registreredes rettigheder Databehandlerens ansvar ift. databehandleraftaler Indhentelse af den dataansvarliges samtykke ved overladelse af oplysninger til andre/nye underdatabehandlere Underdatabehandleraftaler Sikring af, at underdatabehandlere opfylder deres forpligtelser Indgåelse af databehandleraftaler stadig den dataansvarliges ansvar 4
9 Krav til databehandleraftalens indhold Behandlingens varighed Formålet med behandlingen Typer af data der behandles Kategorier af registrerede Databehandlerens pligter og rettigheder, navnlig at databehandlere skal: alene behandle data efter den dataansvarliges dokumenterede instruks sikre at medarbejdere, der behandler data, er underlagt en fortrolighedsforpligtelse efterkomme alle lovpligtige sikkerhedsforanstaltninger overholde krav vedrørende anvendelse af andre databehandlere i muligt omfang bistå den dataansvarlige med at behandle begæringer, udarbejde DPIA, underretning af tilsynsmyndigheden ved sikkerhedsbrud mv. være i stand til over for den dataansvarlige at fremvise alt nødvendig information for at dokumentere compliance med reglerne i forordningen 10 Notifikationspligt Brud på persondatasikkerheden": Brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet udbredelse af eller adgang til personoplysninger, der er videregivet, lagret eller på anden måde behandlet Ved sikkerhedsbrud: Anmeldelse af brud til tilsynsmyndighed inden 72 timer U: usandsynligt at bruddet medfører en risiko for personers rettigheder eller frihedsrettigheder Indholdskrav til anmeldelse: Beskrivelse af karakteren af bruddet på persondatasikkerheden, herunder kategorierne og antallet af berørte registrerede samt kategorierne og antallet af berørte registreringer Angivelse af identitet og kontaktoplysninger for DPO en eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes Anbefaling af foranstaltninger, der kan afhjælpe de mulige skadevirkninger af bruddet på persondatasikkerheden Beskrivelse af konsekvenserne af bruddet på persondatasikkerheden Beskrivelse af de foranstaltninger, som den dataansvarlige foreslår eller har iværksat for at afhjælpe bruddet på persondatasikkerheden Når et sikkerhedsbrud indebærer en høj risiko for registreredes rettigheder og friheder, skal den pågældende underrettes uden ugrundet ophold (ikke ubetinget notifikationspligt) Databehandleren skal underrette den dataansvarlige uden ugrundet ophold 5
11 Data Protection Officer (DPO) Hvilke organisationer (både dataansvarlige og databehandlere) skal have en DPO? Offentlige myndigheder Private virksomheder, hvis kerneaktivitet består af omfattende databehandling, som kræver regelmæssig og systematisk monitorering Private virksomheder, hvis kerneaktivitet består af en omfattende behandling af følsomme personoplysninger Øvrige organisationer kan udpege DPO medlemsstaterne kan lave særregler Alle organisationer bør forankre arbejdet med persondata hos en DPO/databeskyttelsesansvarlig Koncern kan udpege én fælles DPO Udpegning på grundlag af faglige kvalifikationer og ekspertise inden for persondatalovgivning og -praksis 12 Data Protection Officer (DPO) Opgaver (minimumskrav): Underretning og rådgivning af dataansvarlig /databehandler om forpligtelser i henhold til forordningen Overvåge gennemførelsen og anvendelsen af den dataransvarliges/databehandlerens regler om beskyttelse af personoplysninger både fra EU og nationalt, herunder uddanne medarbejdere Kontrollere den dataansvarliges/databehandlerens gennemførelse af PIA og anvendelsen af forudgående godkendelse eller høring af tilsynsmyndigheden i de situationer, hvor der er krav om dette Samarbejde med og være kontaktpunkt for de relevante tilsynsmyndigheder Dataansvarlig/databehandler sikrer, at DPO en inddrages i alle spørgsmål vedr. beskyttelsen af personoplysninger Refererer direkte til øverste ledelse (karakter af stabsfunktion) Kan ikke afskediges eller straffes for udførelse af sine opgaver, men ikke en egentlig beskyttet stilling 6
13 Kontakt Thomas Munk Rasmussen Partner København CCI T +45 72 27 33 55 M +45 25 26 33 55 E tmr@bechbruun.com København Danmark Aarhus Danmark Shanghai Kina T +45 72 27 00 00 www.bechbruun.com 7