Persondataforordningen Den offentlige uddannelsesdag, 4. oktober 2013 Ved partner Thomas Munk Rasmussen og persondataspecialist, ph.d. Charlotte Bagger Tranberg
2 Aktuelt persondataret Brud på sikkerheden - Hvad gør man som offentlig dataansvarlig? Organisatoriske sikkerhedsbrud Fysiske sikkerhedsbrud Systemmæssige sikkerhedsbrud - Kameraovervågning
3 Den retlige ramme for persondatareguleringen Nu: Direktiv fra 1995 + div. Særregler (bl.a. direktiv 2002/58/EF (e-privacy) og forordning 611/201 (obligatorisk underretning af sikkerhedsbrud). Fra 1. december 2009 tillige - Traktaten om den Europæiske Unions Funktionsmåde, art. 16 - Den Europæiske Unions Charter om Grundlæggende Rettigheder, art. 7 og 8 Kommissionens forslag til en persondataforordning, KOM(2012)11 af 25. januar 2012
4 VALG AF RETSAKT og anvendelsesområde Valg af retsakt - Karakteristik af direktiver - Karakteristik af forordninger Anvendelsesområde: - Behandling af personoplysninger, som helt eller delvis foretages automatisk (må være elektronisk) - Anden behandling end elektronisk behandling af personoplysninger, som er eller vil blive indeholdt i et register
5 Territorialt anvendelsesområde Dataansvarlig/databehandlers (offentlig/privat) behandling af oplysninger gennemført af i EU Registrerede bosiddende i EU dataansvarlig ikke etableret i EU - Udbud af varer/tjenesteydelser til registrerede bosiddende i EU - Overvågning af registreredes adfærd
6 Definitioner Betydning af forordning Personoplysning Registreret Registeransvarlig/registerfører ifht. dataansvarlig/databehandler Samtykke altid udtrykkeligt Brud på persondatasikkerheden Genetiske og biometriske data Helbredsoplysninger
7 Principper og retligt grundlag Principper Betingelser for samtykke Interesseafvejningen Senere behandling til uforenelige formål Særligt om børn Følsomme oplysninger Behandlinger, som ikke muliggøre identifikation
8 Den registreredes rettigheder Gennemsigtighed Information og adgang til oplysninger Berigtigelse og sletning Dataportabilitet Indsigelse og profilering Begrænsninger ulogisk placering
9 Dataansvarlig og databehandler Pligt til indførsel af passende foranstaltninger sikre og påvises, at foretaget behandling er i overensstemmelse med forordningens regler Information om brud på sikkerheden Privacy Impact Assessment konsekvensanalyse, hvis ikke foretaget i forbindelse med vedtagelse af national/eu-lovgivning Afskaffelse af anmeldelsesordningen dokumentationskrav Dog krav om forudgående godkendelse i udvalgte situationer Krav om forudgående høring: PIA store konkrete risici
10 Dataansvarlig og databehandler Data Protection by Design Data Protection by Default
11 Databeskyttelsesansvarlig (DPO) Offentlige organer (virksomheder > 250 ansatte, kerneaktivitet indgående behandling af personoplysninger) Offentlige myndigheder/organer udpege én fælles dataansvarlig for flere enheder i overensstemmelsen med struktur Udpeges på grundlag af: - Faglige kvalifikationer - Ekspertise inden for persondatalovgivning og praksis - Evne til at udføre de opgaver, der ligger i hvervet Dataansvarlig/databehandler sikrer at DPO inddrages i alle spørgsmål vedr. beskyttelsen af personoplysninger
12 Samarbejde og sammenhængsmekanisme Gensidig bistand og udveksling af oplysninger mellem tilsynsmyndighederne Sammenhængsmekanisme - Tilsynsmyndigheder - Kommissionen - Det Europæiske Databeskyttelsesråd
13 Administrative SANKTIONER Skriftlig advarsel kun fysiske personer eller virksomheder < 250 ansatte Bøde op til 250.000 (eller 0,5% af den årlige globale omsætning) Bøde op til 500.000 (eller 1% af den årlige globale omsætning) Bøde op til 1.000.000 (eller 2% af den årlige globale omsætning) KL cloud sag
14 Hvor står processen nu? Rapport fra LIBE committe (Europa-Parlamentet), 10. januar 2013 - Udvidelse af det territoriale anvendelsesområde - Flere definitioner - Ændring i muligheden for at anvende interesseafvejningsreglen som behandlingsgrundlag - Styrkelse af den registreredes rettigheder - Pligt til underretning ved sikkerhedsbrud 24 timer 72 timer
15 Hvor står processen nu? Rapport fra Ministerrådet for retlige og interne anliggender, 31. maj 2013 - Valg af retligt instrument (forordning/direktiv) - Indsnævring af forordningens anvendelsesområde - Mere risiko-baseret ramme - Pseudonymiserede data ny oplysningskategori - Utvetydigt samtykke i stedet for udtrykkeligt - Indsnævring af mulighederne for samtykke
16 Hvordan kan offentlige myndigheder konkret forholde sig til forordningsudkastet? Udpege relevante medarbejdere - Herunder overveje om der skal ansættes en DPO eller om der findes en kompetent intern person Uddanne medarbejdere i generel persondataret på forskellige niveauer Begynde at dokumenterer datastrømme
17 Kontakt Thomas Munk Rasmussen Partner København IP & Technology T +45 72 27 33 55 M +45 25 26 33 55 E tmr@bechbruun.com Charlotte Bagger Tranberg Persondataspecialist Aarhus IP & Technology T +45 72 27 34 76 M +45 25 26 34 76 E cbt@bechbruun.com
København Langelinie Allé 35 2100 København Ø Danmark Aarhus Frue Kirkeplads 4 8000 Aarhus C Danmark Shanghai, rep.kontor 83 Loushanguan Road, Suite 2635, 26/F Shanghai, Kina T +45 72 27 00 00 F +45 72 27 00 27 E info@bechbruun.com www.bechbruun.com