IT-Branchens ønsker til dansk implementering af persondataforordningen

Relaterede dokumenter
Nye regler på vej Status på arbejdet med databeskyttelsesforordningen. 8. november 2017

Justitsministeriet Slotsholmsgade København K Danmark

Adfærdskodekser. v/rami Chr. Sørensen

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

Overblik over persondataforordningen

Retsudvalget, Retsudvalget L 68 endeligt svar på spørgsmål 6, L 69 endeligt svar på spørgsmål 6 Offentligt

Tjekliste til arbejde med persondata. Branchefælleskab for Intelligent Energi

Vejledning om informationssikkerhed

KLs forslag til forbedring af EUs persondataforordning

Er I klar til den nye persondataforordning?

Persondataforordningen den 20. februar 2018

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018


Databeskyttelse INDSAMLER OPBEVARER BRUGER DU DATA? Hvad er personoplysninger? Bedre regler for små virksomheder. Januar 2017 DA

Det skal du have styr pa inden 2018

Persondataloven i en Smart City kontekst. Alexander Tureczek, Ph.d. candidate

I, Privatlivspolitik for Kunder, kan du læse om vores politikker, principper og procedure for håndtering af personoplysninger.

Hvis vi har brug for yderligere oplysninger end angivet ovenfor, vil vi orientere dig herom ved indsamlingen heraf.

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Bilag A Databehandleraftale pr

Persondatapolitik til ansøgere og rekruttering

Rigsarkivets konference 2. november 2016

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

EU S PERSONDATAFORORDNING & CLOUD COMPUTING

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Retsudvalget, Retsudvalget L 68 endeligt svar på spørgsmål 7, L 69 endeligt svar på spørgsmål 7 Offentligt

Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

KL s holdning til Europa-Kommissionens generelle forordning om databeskyttelse

Advokat (H), partner Anders Aagaard. Ledelsesansvar for IT-sikkerhed

Databehandleraftale. Mellem. Webdomain CVR (herefter "Databehandleren")

Persondataforordningen

Introduktion til persondataforordning

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

! Databehandleraftale

Bilag B Databehandleraftale pr

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS

Derudover må personoplysninger i fysiske mapper kun tilgås af personer, der har et formål med at kunne tilgå de pågældende personoplysninger.

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Behandling af persondata i EL Andersen A/S

PERSONDATAFORORDNINGEN STATUS???? OG ER DER NOGET NYT I DEN?

PERSONDATAPOLITIK FOR CENTER FOR DIGITAL PÆDAGOGIK

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

INFORMATIONSSIKKERHED - OG AKTUELLE NEDSLAGSPUNKTER FRA DEN KOMMENDE DATABESKYTTELSESFORORDNING

Persondatapolitik. Dataansvarlig Paarup Hansen ApS Enghaven Roskilde Danmark CVR-nr.:

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

7. NOVEMBER Side 1. Udbud og persondata. Advokat Jesper Nørøxe samt advokat Rasmus Holm Hansen

Målrettet arbejde med persondataforordningen for

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du

Kommissionens forslag til generel forordning om databeskyttelse

Regler om persondata Koordinatormøde den 28. nov. 2017

Overblik i forbindelse med den nye Persondataforordning Skema til dokumentation

Politikken skal opfylde kravene til oplysning om behandling af personoplysninger i EU s Forordning om beskyttelse af

PERSONDATAPOLITIK FOR AXIS

2.1 Vi behandler persondata og har derfor vedtaget denne persondatapolitik, der beskriver, hvordan vi behandler persondata.

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

Databehandlingspolitik

Persondatapolitik. - Gæst - Skallerup Seaside Resort A/S

Resultatet af afstemningen om ovennævnte lovgivningsmæssige retsakt er vedlagt denne note. Referencedokument:

Persondataforordningen

Europaudvalget 2010 KOM (2010) 0609 Bilag 1 Offentligt

Persondataforordningen - set med danske øjne

EU Persondataforordning GDPR

Må lrettet årbejde med persondåtåforordningen for Gl. Rye Våndværk

Datapolitik/databehandlingsrapport

Databehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

Politik for beskyttelse og behandling af personoplysninger

Generelt om persondata og EU s persondataforordning

Retningslinjer for behandling af personoplysninger for kunder og leverandører i med Anker Hansen og Co. A/S ( AHC ) CVR-nr

Aftale vedrørende fælles dataansvar

Målrettet arbejde med persondataforordningen for

Justitsministeriet Slotsholmsgade København K.

EU Persondataforordningen, skærpet krav til sikkerheden om data

Standardvilkår. Databehandleraftale

Retsudvalget REU Alm.del endeligt svar på spørgsmål 1240 Offentligt

NOTAT. Styr på persondata

Indledningsvis vil Finansrådet takke for muligheden for at afgive bemærkninger til grund- og nærhedsnotatet.

Håndtering af Persondataforordningen. Aarhus den 22. august 2017 Advokat Kamilla Mondrup

Databehandleraftale. (De Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under ét Parterne )

Persondataforordningen. Henrik Aslund Pedersen Partner

Dataetiske principper for brug af persondata på folkeskoleområdet. Princip 4. Fokus på rettigheder og reaktionsmuligheder

Tilsynsstrategi Ny organisation af tilsynsarbejdet

Vi har udarbejdet en særlig fortegnelse over vores databehandlingsaktiviteter. Denne fortegnelse indeholder:

Den Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".

BIG DATA OG PERSONDATABESKYTTELSE

Retsudvalget, Retsudvalget L 68 endeligt svar på spørgsmål 4, L 69 endeligt svar på spørgsmål 4 Offentligt

PERSONDATALOVEN - UDFORDRINGER. Birthe Boisen, Juridisk Konsulent Tlf

Programbeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016

Nyhedsbrev. Corporate Compliance, Persondata og Interne undersøgelser

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

Workshop om persondataforordningen

Persondata politik for GHP Gildhøj Privathospital

Må lrettet årbejde med persondåtåforordningen for Vejby Smidstrup Våndværk

Bilag 3 Personoplysninger Den registrerede Behandling af personoplysninger Dataansvarlig Databehandler Brud på persondatasikkerheden

BILAG 14: DATABEHANDLERAFTALE

(den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

Cirkulæreskrivelse om Styrelsen for It og Lærings opgaver som databehandler i visse administrative systemer på undervisningsområdet

DEN NYE PERSONDATAFORORDNING. er din virksomhed klar?

Den nye persondataforordning Indlæg den Ejendomsforeningen Fyn. A focused subheading Date

Transkript:

IT-Branchens ønsker til dansk implementering af persondataforordningen IT-Branchen hilser Persondataforordningen velkommen, og glæder sig over at de nye regler skal sikre borgernes rettigheder i forbindelse med behandling af persondata og sikre prioritering af datasikkerhed i både virksomheder og offentlige institutioner. Det er afgørende, at den danske implementering af forordningen understøtter dansk erhvervs konkurrencevilkår både nationalt og på tværs af EU's medlemslande. Der er brug for et både moderne, fleksibelt og specifikt regelsæt, der ikke er for omkostningsfuldt for erhvervslivet at efterleve. IT-Branchen har været rigtig glade for den store åbenhed Justitsministeriet og Regeringen ind til nu har vist i forbindelse med Persondataforordningen. Både de workshops, Erhvervsstyrelsen har arrangeret, de tre stormøder, og den generelle velvillighed til at stille op til møder med branchen, har været meget værdsat og har været med til at skabe en god debat om de valg, regeringen skal træffe i forbindelse med dansk implementering. IT-Branchen har med stor interesse læst Justitsministeriets betænkning om dansk implementering af Persondataforordningen. Betænkningen indeholder afklaring på mange spørgsmål i forhold til dansk implementering, men der er fortsat flere områder, der udestår. Vi har i dette brev samlet IT-Branchens ønsker til det videre arbejde med den danske implementering, herunder ønsker til yderligere afklaring. Harmonisering og modernisering IT-Branchen ønsker generelt, at reglerne omkring persondatabeskyttelse understøtter dansk erhvervs konkurrencevilkår både nationalt og på tværs af EU's medlemslande. Det kræver, at vi har en harmoniseret tilgang på tværs af EU-lande, samt at lovgivningen er både moderne, fleksibel og specifik. Regeringen har lagt op til at foretage en implementering af persondataforordningen, som så vidt muligt tager udgangspunkt i eksisterende lovgivning. Det giver naturligvis nogle fordele i forhold til virksomhedernes overholdelse på kort sigt, da forskellen mellem gammel og ny retstilstand bliver relativt lille, men på sigt er der store omkostninger forbundet med en manglende modernisering af reglerne. Ligeledes kan det betyde, at vi ikke kommer i mål med en reel harmonisering på tværs i EU. Eksempler: Krigsreglen: Den såkaldte krigsregel er tidligere blevet tolket meget restriktivt, og har derfor betydet, at data fra flere landsdækkende administrative systemer ikke placeres i udlandet. Justitsministeriet lægger i betænkningen op til at overveje behovet for bestemmelsen. IT-Branchen mener, at det er afgørende at benytte anledningen til at modernisere kravene, så formålet vedligeholdes (vi kan slette data), men måden, hvorpå der kan opfyldes, moderniseres (fx ved hjælp af krav om tekniske sikkerhedsforanstaltninger som fx kryptering). Behandlingsregler: Justitsministeriet lægger sig i betænkningen fast på en fortolkning i forhold til behandlingsreglerne, der stort set medfører, at vi kan opretholde alle eksisterende nationale regler. Det vil være lettest at implementere, men skaber ikke stor harmonisering, da mange andre lande vælger andre løsninger. 1

Vejledning og rådgivning På trods af Justitsministeriets omfangsrige betænkning om dansk implementering af persondataforordningen er der fortsat stort behov for konkret og relevant vejledning til virksomhederne hurtigst muligt. IT-branchen har været rigtig glad for den åbenhed, som Justitsministeriet og regeringen generelt har vist i forbindelse med arbejdet med dansk implementering ind til nu. Vi kan derfor på det stærkeste opfordre regeringen til fortsat at involvere branchen tæt i udformning af vejledningerne. Det kan fx gøres ved løbende at dele de foreløbige versioner af vejledningerne. Det vil sikre dialog om retningen og give virksomhederne mulighed for at tilrette arbejde løbende/tidligt. IT-Branchen vil endvidere opfordre til at vejledningerne skrives så operationelt som muligt, og at vejledningerne tager højde for så mange forskellige typer af virksomheder som muligt, meget gerne med konkrete eksempler som er lette at forholde sig til. Der er også brug for rådgivning Vejledninger kan dog ikke stå alene. Regeringen bør med så højt bødeniveau og så kort tid til at rette ind, også påtage sig en markant rådgivningsforpligtigelse, om ikke andet, så i hvert fald i en overgangsperiode. Datatilsynet vil med deres klare tilsynsrolle og de eksisterende midler have svært ved at løfte et egentligt rådgivningsansvar effektivt, hvorfor andre modeller til forpligtigende rådgivning bør overvejes. IT-Branchen bistår gerne hermed. IT-Branchen opfordrer særligt til, at Datatilsynet som led i deres arbejde får ressourcer til at kunne tilbyde virksomheder at udforme en egentlig bindende forhåndsgodkendelse, evt. via et mindre gebyr. Endelig bør der udarbejdes et online værktøj inspireret af www.sikkerhedstjekket.dk, der kan give et overblik over, om der er svagheder den enkelte virksomheds datahåndtering og målrettet give vejledning om, hvor der bør sættes ind først for at overholde de nye regler. Offentlige sanktioner IT-Branchen er tilhænger af, at der ligesom for private skal være klare sanktioner for det offentlige forbundet med manglende overholdelse af forordningen Persondataforordningen indeholder et råderum på dette område, og Danmark har således mulighed for selv at fastsætte regler for sanktioner til offentlige myndigheder. Der er ikke et klart mønster i EU, da flere lande har valgt forskellig tilgang. Betænkningen fra Justitsministeriet indeholder ingen svar i forhold til dansk implementering. IT-Branchen forstår fuldt ud kompleksiteten i spørgsmålet, og anerkender, at det vil være uheldigt, hvis fx et hospital skal fyre læger og sygeplejersker som konsekvens af en bøde. Men der er et stort behov for at opprioritere indsatsen i det offentlige. Fx slog Rigsrevisionen november 2016 fast, at alt for mange offentlige myndigheder sjusker med datasikkerhed. Der er afgørende for at opnå den nødvendige prioritering af databeskyttelse i det offentlige, at brud på reglerne har en alvorlig konsekvens. Ligesom for private virksomheder kan det koste mange ressourcer hvis man skal overholde de nye regler. Styrket datasikkerhed kræver at den enkelte offentlige myndighed eller institution prioriterer ressourcerne. Det sker ikke uden stærke incitamenter. 2

Konkurrenceforvridning Samtidig vil det også medføre en konkurrencemæssig udfordring, hvis det offentlige ikke pålægges sanktioner, særligt på områder hvor det offentlige og private opererer på samme marked. Det er konkurrenceforvridende, når en privat virksomhed i sit tilbud skal indregne risikoen for at måtte blive idømt en bøde for overtrædelse af persondatareglerne, mens dette ikke er tilfældet for den offentlige virksomhed. Et praktisk eksempel kunne være et offentligt udbud, hvor kommunens egen IT afdeling afgiver et kontrolbud. Manglende bøderisiko kan føre til billigere priser, med mindre den manglende bøderisiko opvejes af en anden økonomisk kvantificeret risiko, som det pålægges den offentlige myndighed at indregne i kontroltilbuddet. Konkrete modeller Hvorvidt sanktioner mod det offentlige skal være i form af bøder, der i sig selv kan virke præventive, eller om der er andre passende sanktioner, der kan pålægges det offentlige, vil IT- Branchen gerne indgå i en nærmere dialog om. Under alle omstændigheder bør de valgte sanktioner afspejle den faktiske forseelse. Evt. bødepenge bør ikke ryge i statskassen, men i en særlig pulje, der øremærkes til enten at løse den konkrete myndigheds udfordringer med databeskyttelse (dvs., en de facto omprioritering af midler til it-sikkerhed/databeskyttelse) eller til finansiering af fx generel folkeoplysning om persondatabeskyttelse. Evt. i en fordelingsnøgle. Tilpas sikkerhed Persondataforordningen indeholder krav om at sikre et passende sikkerhedsniveau. Dette begreb kan være svært at håndtere og ikke mindst fortolke - særligt for mindre virksomheder. IT-Branchen opfordrer derfor til, at der udfærdiges en dynamisk vejledning, gerne med udgangspunkt i den allerede eksisterende www.sikkerhedstjekket.dk Vejledningen skal sikre, at anvisningerne kontinuerligt opdateres og følger de teknologiske muligheder og udvikling, ligesom den skal sikre en balance i sikkerhedskravene, så de følger den faktiske virksomhedstype og databehandling. Aldersgrænser for samtykke Databeskyttelsesforordningen forskriver, at informationssamfundstjenesters behandling af personoplysninger om børn under 16, kræver samtykke fra forældrene. Medlemsstaterne har mulighed for at fastsætte en lavere aldersgrænse ned til 13 år. IT-Branchen anbefaler, at man i Danmark vælger at sætte aldersgrænsen til det lavest mulige 13 år. Dette bør gøres for at sikre størst mulig digital inklusion og for at understøtte den digitale dannelse. Der er rigtig mange danske unge under 16 der benytter sociale medier. Regler om samtykke bør ikke være en stopklods for at de unge kaster sig ud i at anvende ny teknologi. Flere lande, deriblandt Sverige, har allerede tilsluttet sig den lave aldersgrænse, og Danmark bør følge trop. Branchekodeks Persondataforordningen giver mulighed for, at der kan udarbejdes adfærdskodekser, der skal beskrive en konkret praksis for behandling af data. 3

IT-Branchen ser adfærdskodeks som en interessant mulighed for at sikre branchespecifik vejledning, der potentielt kan lette arbejdet med at implementere forordningen. Det er dog afgørende hvor omfangsrige krav, der vil blive stillet til udarbejdelse af et kodeks, og hvilken kontrol og certificeringskrav det enkelte kodeks bliver omfattet af. Faren er, at det bliver en meget ressourcekrævende proces at udarbejde og vedligeholde et kodeks. Ligesom det kan blive omkostningsfuldt at holde kodekset ved lige i en dynamisk verden, hvor teknologien konstant ændrer spillereglerne. IT-Branchen ser derfor meget gerne, at formkravene til et adfærdskodeks holdes minimalt, at Datatilsynet får tilført midler til aktivt at bistå udarbejdelsen, samt at selve adfærdskodekset adskilles fra kravet om certificering. Adfærdskodekset vil i en sådan situation blive et relevant værktøj, der kan bruges til at udstikke en sektorspecifik minimumsforståelse, der tolker reglerne i en branchespecifik kontekst og foreskriver en praksis for datahåndtering. Uklarhed omkring markedsføring Den nuværende danske persondatalov indeholder særlige regler for anvendelse og videregivelse af personoplysninger til markedsføringsmæssige formål (bl.a. 12 samt interesseafvejningsreglen i persondatalovens 6). Persondataforordningen indebærer ikke tilsvarende særlige regler. Dog fremgår det af præambelbetragtningen 47, at behandling af personoplysninger til direkte markedsføring kan anses for at være foretaget i en legitim interesse. Det er uklart, hvornår der foreligger en legitim interesse for anvendelse og videregivelse af personoplysninger til markedsføringsmæssige formål. Det er IT-Branchens holdning, at generelle kundeoplysninger fortsat frit skal kunne videregives uden samtykke til markedsføringsmæssige formål. Den registrerede har flere muligheder for at frasige sig denne deling, blandt andet muligheden for udeladt nummer samt Robinsonlisten. Disse bør fortsat sikre den registreredes ret til at frabede sig uanmodede henvendelser med henblik på markedsføring. Registrering af telefonnumre der ringes til fra deres arbejdstelefoner Persondatalovens paragraf 13 foreskriver at virksomheder ikke må registrere hvilke telefonnumre der ringes til, fra medarbejderes telefoner. Det er fortsat uklart, hvorvidt denne regel videreføres i ny lovgivning. IT-branchen anbefaler ikke, at denne bestemmelse videreføres. Der er naturligvis tale om personhenførbare oplysninger, men da det sker fra de enheder virksomheden har stillet til rådighed, må man formode, at de øvrige forpligtigelser på udmærket vis sikrer, at den slags oplysninger opbevares og behandles forsvarligt, og ikke mindst slettes efter nærmere beskrevet proces/frekvens. Sikre 3. lande I forbindelse med overførsler af persondata ud af EU arbejder Datatilsynet med et begreb om sikre tredjelande 4

Processen og ansvaret for vurdering og løbende opdatering af listen over sikre tredjelande er dog uklar. Lovgivning, sikkerhedssituation etc. er levende størrelser, og derfor er det afgørende for global forretningsførelse, at man kender til listen og processen omkring den. IT-Branchen opfordrer til at der sikres øget klarhed om processen. Husk folkeoplysning Persondataforordningen indeholder flere nye krav til virksomhederne, men også en række vigtige nye rettigheder, ikke mindst til borgerne. Hvis vi skal sikre en god dansk implementering af persondataforordningen, er det ikke blot vigtigt med vejledning og rådgivning rettet mod virksomheder, men også mod borgere. Et øget kendskab i befolkningen til rettigheder og klagemuligheder vil være med til at sikre en god anvendelse af de nye muligheder og en bedre forventningsafstemning omkring hvornår og hvordan de nye regler kan anvendes. IT-Branchen foreslår, at regeringen i forbindelse med den kommende finanslov afsætter midler specifikt til dette formål. Vi stiller gerne op IT-Branchen ser frem til den fortsatte dialog om dansk implementering af Persondataforordningen, og står naturligvis til rådighed for en uddybning af ovenstående. 5

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback