Håndtering af Persondataforordningen. Aarhus den 22. august 2017 Advokat Kamilla Mondrup

Relaterede dokumenter
Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

Overblik over persondataforordningen

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Introduktion til persondataforordning

Persondataforordningen og offentlige organisationer

Persondataforordningen den 20. februar 2018

EN DAG OM PERSONDATAFORORDNINGEN. STU Foreningen. 7. december 2017

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Rigsarkivets konference 2. november 2016

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Persondataforordningen...den nye erklæringsstandard

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

BILAG 14: DATABEHANDLERAFTALE

September Indledning

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Grab n Go: Session 2 EU s persondataforordning og hvad så?!? 17. marts 2016

Persondataforordningen

BILAG TILSYN OG EGENKONTROL UDFØRT DEN [INDSÆT: DATO]

Bilag A Databehandleraftale pr

BILAG 3.2 FÆLLES DATAANSVARSAFTALE

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

General Data Protection Regulation

Persondataforordningen. Henrik Aslund Pedersen Partner

Retningslinje om fortegnelser over behandlingsaktiviteter

Transkript:

Håndtering af Persondataforordningen Aarhus den 22. august 2017 Advokat Kamilla Mondrup

Overblik Persondatalovgivningen i dag og i fremtiden Særlige emner under Persondataforordningen Personoplysninger uden for EU Gode råd Side 2 Bird & Bird LLP 2017 Subject matter Client Details

Persondatalovgivningen i dag og i fremtiden Persondataloven (2000) Baseret på persondatadirektivet (1995) 15-20 år med voldsom udvikling Forskelle i implementering af direktiv i 28 lande behov for opdateret / harmoniseret lovgivning Persondataforordningen Samme regler i hele EU Dog en række områder, hvor der kan laves nationale regler Finder anvendelse fra 25. maj 2018 Persondataloven ophører og forordningen bliver direkte lov i Danmark Side 3

Persondatalovgivningen i dag og i fremtiden Betænkning Den 24. maj 2017 udkom Betænkning nr. 1565/2017 til den nye databeskyttelsesforordning (Persondataforordningen) Formål: Sikre forordningens konkrete gennemførelse i dansk ret, herunder at analysere rammerne for både indførelse og opretholdelse af nationale særregler. Justitsministeriet vil løbende udsende en række vejledninger om forståelsen af forordningen. Ifølge tidsplanen vil de første udkomme i september 2017 (generel information om forordningen, databeskyttelsesrådgiver og overførsel til tredjelande). Lovforslag til "Databeskyttelseslov" Sendt i høring den 7. juli med frist den 22. august 2017 Erstatter Persondataloven Primære retskilde er dog Persondataforordningen 48 paragraffer Fortolkning ud fra en EU-retlig vinkel Som udgangspunkt: Business as usual Side 4

Persondataforordningen Øgede krav til virksomheder og offentlige myndigheder Fremover vil der være større fokus på (krav om): Gennemsigtighed Dokumentation Datasubjektets egen kontrol Datasubjektets samtykke Den generelle anmeldelsesordning afskaffes Side 5

Forslag til "Databeskyttelsesloven" Forslaget indeholder blandt andet: En videreførelse af reglerne for behandling af strafbare forhold En videreførelse af reglerne om behandling af CPR-nummer En videreførelse af den danske særregel om videregivelse af almindelige personoplysninger til markedsføringsformål Aldersgrænsen for samtykket fra børn til brug af informationstjenester er sat til 13 år Meget få særlige regler for behandling af persondata i forbindelse med personaleadministration Ny interesseafvejningsregel som arbejdsgivere kan anvende til behandling af oplysninger om medarbejdere Præcisering af at samtykke kan anvendes som behandlingsgrundlag i strid med Artikel 29-gruppens anbefaling Side 6

Hvorfor så meget fokus på forordningen Bøder Op til EUR 20 mio. eller 4% af årlig global omsætning Afhængigt af hvad der er højest Tage højde for: grovheden, skades størrelse, gentagelse m.v. Sanktioner skal være afskrækkende Ensartede i hele EU Bødeniveauet vil stige voldsomt! Side 7

Hvad er personoplysninger efter forordningen? "Enhver form for information om en identificeret eller identificerbar fysisk person" Side 8

Typer af persondata Side 9

Persondata andre væsentlige begreber Behandling Enhver aktivitet, som persondata gøres til genstand for. Dataansvarlig Den fysiske/juridiske person, som afgør til hvilke formål (og med hvilke hjælpemidler), der skal ske behandling af persondata. Databehandler Den fysiske/juridiske person, som behandler persondata på vegne af den dataansvarlige. Fx en driftsleverandør Datasubjektet Den fysiske person hvis personoplysninger behandles Side 10

Danske virksomheder skal i gang! Anvendelsesområdet er bredt Forordningen kommer til at gælde for alle der behandler persondata og er etableret i EU uanset om behandlingen finder sted i EU. OG alle virksomheder, der leverer varer eller services rettet mod borgere i EU OG virksomheder, der registrerer adfærd for europæiske borgere. Eksempler hvor virksomheder jævnligt behandler persondata Administration af medarbejdere m.v. Registrering af brugeres informationer f.eks. ved brug af lagring af cookies Hosting/lagring af egne eller andre virksomheders oplysninger =>De fleste virksomheder skal altså til at rette ind! Page 11 Bird & Bird LLP 2017 Subject matter Client Details

Hvad er det så for krav virksomhederne skal efterleve Kort fortalt: Overholde principperne om behandling af persondata Overholde dokumentationskrav Håndtering af datasubjektets rettigheder Implementere fornødne sikkerhedsforanstaltninger Page 12 Bird & Bird LLP 2017 Subject matter Client Details

"Retten til at blive glemt" Hvad indebærer 'retten til at blive glemt'? Datasubjektet kan kræve at få offentligt tilgængelige personlige oplysninger slettet, hvis blandt andet: Formålet er opfyldt Samtykke tilbagekaldes, og der ikke er anden hjemmel Behandlingen er ulovlig Dog undtagelser hertil (f.eks. hvis behandlingen er nødvendig af hensyn til at kunne udøve ytringsfriheden) Hvilke forpligtelser medfører det for virksomheder? Den dataansvarlige virksomhed skal foretage alle rimelige skridt, herunder tekniske foranstaltninger, til at slette oplysningerne og informere alle tredjeparter, der behandler dataene. Store administrative omkostninger! Side 13

Retten til dataportabilitet Hvad er "dataportabilitet"? Datasubjekter har ret til at få udleveret og overført data om sig selv fra én dataansvarlig til en anden, hvis: Behandlingen er baseret på samtykke Behandlingen er nødvendig af hensyn til opfyldelse af en kontrakt Skal udleveres i et sædvanligt og maskinlæsbart format Den dataansvarlige må ikke hindre/besværliggøre dette Hvilke forpligtelser indebærer det? Virksomhederne skal være klar til at håndtere disse anmodninger Tekniske foranstaltninger Arbejdsgange Side 14

Privacy by Design / by Default Privacy by Design: Virksomheder skal ved udviklingen af nye produkter og forretningsmetoder altid tage hensyn til databeskyttelse, fx dataminimering, i de nye systemers og processers arkitektur Privacy er indlejret i it-design og ikke noget man vælger. Privacy by Default Procedurer, der som standard sikrer: At der kun behandles persondata, som er nødvendig. At data ikke indsamles og opbevares ud over det nødvendige tidsrum til de specifikke formål. Justitsministeriet: Ikke et krav at eksisterende systemer skal redesignes! Kun hvor det er muligt. Forordningen: Hensyntagen til aktuelle tekniske niveau, implementerings-omkostninger, behandlingens karakter, omfang m.v. Side 15

It-sikkerhed Krav til it-sikkerheden Den dataansvarlig skal implementere 'passende tekniske og organisatoriske sikkerhedsforanstaltninger' og kunne bevise dette overfor myndighederne. En del af den øgede dokumentationspligt Hvad er passende? I teknisk, fysisk og organisatorisk henseende? Fx begrænset adgang, passwords, firewall, pseudonymisering, kryptering af følsomme oplysninger osv. Evt. branchestandarder og kutymer samt ISOcertificeringer, f.eks. ISO 27001. Side 16

Data Protection Officers Hvad er en Data Protection Officer ('DPO')? En af virksomheden udpegede person, som fører tilsyn med overholdelse af persondataforordningen. Er din virksomhed forpligtet til at antage en DPO? Hvis offentlig virksomhed. Hvis din virksomheds "kerneaktivitet" består i behandling af personlige oplysninger. Regelmæssig og systematisk overvågning af datasubjekter i stort omfang; eller Behandling af følsomme eller strafbare oplysninger i stort omfang Side 17

Data Protection Officers Kerneaktiviteter Fortolkning af "kerneaktivitet" "Kerneaktivitet ": Hvis virksomhedens produkt eller tjeneste består i behandling af personoplysninger, og aktiviteterne er uløseligt forbundet hermed. Eksempelvis: - Et hospitals behandling af helbredsoplysninger. Behandling af disse oplysninger er strengt nødvendige for at kunne yde patienterne den korrekte behandling - Et sikkerhedsfirma, der foretager overvågning af fx shoppingcentre og offentlige steder og i den forbindelse behandler personoplysninger i form af optagelser - Andre eksempler kan være hostingvirksomheder (cloududbydere) Personaleadministration, IT-support, kundekontakt eller advokaters behandling af klientoplysninger = biaktivitet, selvom de er essentielle for forretningen Artikel 29-gruppen har publiceret en vejledning på dette område Side 18

Dokumentationskrav Fortegnelse Den dataansvarlige og databehandleren skal føre en fortegnelse over behandlingsaktiviteter: Undtagelse: Under 250 ansatte, medmindre: - Sandsynlig risiko for datasubjektets rettigheder og friheder - Behandlingen ikke er lejlighedsvis eller - Behandlingen omfatter følsomme eller strafbare oplysninger Page 19

Dokumentationskrav Fortegnelsen skal indeholde oplysninger om: Navn og kontaktoplysninger til: Dataansvarlig(e) Evt. DPO og evt. repræsentant Formål med behandlingen En beskrivelse af kategorier af datasubjekter og datatyper Kategorier af datamodtagere Overførsler til tredjelande Tidsgrænser for sletning Overordnet beskrivelse af teknisk og organisatorisk sikkerhed Mindre omfattende for databehandlere Page 20

Overførsel af oplysninger til tredjelande HR: Kræver specifik godkendelse. U1: Hvis Kommissionen har fastslået, at tredjelandet har et tilstrækkeligt sikkerhedsniveau U2: Dataansvarlig giver fornødne garantier, f.eks. Retligt bindende håndhævelsesinstrumenter Bindende virksomhedsregler (BCR) Godkendte standardbestemmelser (SCC) Godkendte adfærdskodeks, som kan håndhæves Godkendte certificeringsmekanismer, som kan håndhæves Side 21

Overførsel af oplysninger til tredjelande U3: Kan, i mangel af anden hjemmel, ske hvis: Der foreligger udtrykkeligt samtykke fra datasubjektet Det er nødvendigt for opfyldelse af en kontrakt Det er nødvendig aht. vigtige samfundsinteresser, retskrav eller vitale interesser Det er tale om et enkeltstående, begrænset tilfælde, hvor vægtige legitime interesser taler herfor. I praksis nok sjældent anvendelig. Side 22

Gode råd Undersøg om og hvordan forordningen får betydning for din virksomhed Lav GAP-analyse Hvor står vi? Hvor vil vi hen? Hvor langt er vi fra målet? Udpeg en "DPO" eller/og arbejdsgruppe Sørg for at have den nødvendige dokumentation på plads fx: Fortegnelse over behandlingsaktiviteter Samtykkeerklæringer Databehandleraftaler Anmeldelsesprocedure ved sikkerhedsbrud Interne og eksterne 'privacy policies' Risikovurderinger og konsekvensanalyser IT-sikkerhedspolitik Side 23

Vil du vide mere? "Persondataforordningen en håndbog for praktikere" 1. udg. 2016 www.extuto.dk Se også vores guide til persondataforordningen på vores hjemmeside Side 24

Kontaktoplysninger Bird & Bird advokatfirma www.twobirds.com Kamilla Mondrup, advokat Telefon: 72 24 12 12 Direkte: 39 14 16 76 Mobil: 40 45 07 85 E-mail: kamillapierdola@twobirds.com Side 25

Tak for i dag BIRD & BIRD ADVOKATPARTNERSELSKAB Bird & Bird Advokatpartnerselskab er et registreret selskab i Danmark under CVR-nr. 35 14 45 01. Alle vores advokater er medlem af Advokatsamfundet og underlagt de advokatetiske regler fra Advokatrådet. Reglerne er tilgængelige her: www.advokatsamfundet.dk. BIRD & BIRD Bird & Bird LLP, er et registreret partnerskab, registreret i England og Wales under registreringsnummer OC340318, der er autoriseret og underlagt Solicitors Regulation Authority, og dets regler og retningslinier der er tilgængelige her: sra.org.uk/handbook/ For yderligere information om Bird & Bird internationalt, herunder Bird & Bird LLP, dets filialer og associerede selskaber (samlet benævnt Bird & Bird ), vores kontorer, ansatte, partnere og rådgivningsområder, brug af e-mails og regulatoriske forhold, se vores website på twobirds.com og navnlig Legal Notices.

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback