EU’s Persondataforordning - Håndtering af kundedata

DI’s konference, torsdag den 15. juni 2017

Pia Kirstine Voldmester, advokat (H) og partner

Mød Esben!

(Hipster)mand

31 år

Kandidatgrad i humanistisk informatik

Bor i andelslejlighed på Vesterbro

Onlinesøgninger med interesse for

oplevelsesrejser, adventuresport,

festivaler, rombarer, mikrobryggerier

og mærketøj

Ingen onlinesøgninger relateret til

småbørn eller smykker til kvinder

Hans IPhone7 opholder sig ofte

omkring Sønder Boulevard eller i

Kødbyen torsdag, fredag og lørdag

aften (så det gør Esben nok også)

Baseret på vores viden om Esben, hans

præferencer og andre mænd som ham…

…er Esben i målgruppen for…

Rejser til rom-kolonierne i Caribien

Mountainbike-tur til Åre i Sverige

Streaming-serier om amerikansk politik

Upcoming skandinaviske designere og

sneaks

…er Esben uinteresseret i…

Badeferier til all-inclusive familiehotel

Romantiske blockbustere

…er Esben i risikogruppen for…

Sportsskader

Leverskader (?)

Introduktion til forordningen og grundlæggende begreber

Grundlæggende principper og behandlingsregler

Databehandlere, sikkerhed og dokumentation

4

Den registreredes rettigheder – herunder profilering

Status på Databeskyttelsesforordningenpr. 15. juni 2017

5

24. maj 2016

Ikrafttræden

24. maj 2017

Justitsministeriets publikation fremlægges

13. juni 2017

Justitsministeriets stormøde

Oktober 2017

Danske lovforslag fremsættes

25. maj 2018

Forordningen finder anvendelse

September 2017 – januar 2018

Justitsministeriets vejledninger udkommer

løbende

Beskedent fokus på persondatalovgivning

Næsten ingen håndhævelse, ligegyldigt bødeniveau

Fokus på informationssikkerhed

Indtil nu

”Samme” regler i hele EU/EØS (men mange nationale særregler)

Mange nye proces- og dokumentationskrav

Op til € 10 - 20 mio. eller 2-4 % af den årlige globale omsætning

Game changer

Under et år tilbage

Persondataforordningen

Anvendelsesområde

6

Registrerede personer

Hvem skal overholde forordningen?

Fysiske personer (uanset nationalitet og bopæl)

f. eks. medarbejdere, direktører, bestyrelsesmedlemmer, kunder, medlemmer, brugere og samhandelspartnere

Forordningen beskytter ikke juridiske personer

Bortset fra enkeltmandsvirksomheder og virksomheder etableret i interessentskaber

Private personer skal ikke overholde reglerne, når der er tale om rent personlige og familiemæssige aktiviteter

Private virksomheder (uanset selskabsform)

Offentlige myndigheder

Organisationer

Personoplysning og behandling

Basale definitioner

7

Hvad er personoplysninger?

Enhver form for information om en identificeret eller identificerbar fysisk person (”den registrerede”)

Ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet

Hvad er en behandling?

Enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for

F.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse

Elektronisk behandling af personoplysninger

Manuel behandling af personoplysninger i et register

Personoplysninger

Basale definitioner

8

Almindelige personoplysninger

Særlige kategorier af personoplysninger

Straffeattester mv.

CPR-nr.

Navn, adresse, indkomst og formueforhold, civilstand, mv.

Alle andre oplysninger end de særlige kategorier (f.eks. er almindelige oplysninger også personlighedstest, skilsmisser, bortvisninger, gæld og restancer mv.)

Racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold (ikke A-kasse), helbredsmæssige og seksuelle forhold

Genetiske og biometriske data, ved behandling mhp. identifikation

Persondatalovens § 11 videreføres formentlig

Behandling hvis fastsat i lov eller udtrykkeligt samtykke

Ingen offentliggørelse uden udtrykkeligt samtykke

Behandling for private virksomheder kræver lovhjemmel

Samtykkets skæbne uvis

Introduktion til forordningen og grundlæggende begreber

Grundlæggende principper og behandlingsregler

Databehandlere, sikkerhed og dokumentation

9

Den registreredes rettigheder – herunder profilering

Grundlæggende principper for al behandling

Basale definitioner

10

Formålsbegrænsning

Indsamling af oplysninger skal ske til udtrykkeligt angivne og legitime formål, og senere behandling må ikke være uforenelig med disse formål.

Statistiske formål (mv.) som udgangspunkt forenelige (artikel 89)

Datakvalitet

Oplysningerne skal være rigtige og om nødvendigt ajourførte

Der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige, omgående slettes eller berigtiges

Dataminimering

Oplysningerne skal være relevante, tilstrækkelige og begrænset til hvad der er nødvendigt i forhold til formålene

”Kan vi nå formålet med færre oplysninger?”

Sletning

Oplysningerne skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end formålet tilsiger

Muligheder for opbevaring med henblik på statistiske formål mv. (art. 89)

Integritet og fortrolighed

Tilstrækkelig sikkerhed for personoplysninger, herunder mod ubemyndiget eller ulovlig behandling og mod hændeligt tab, ødelæggelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger

Lovlighed, rimelighed og gennemsigtighed

Lovlig, rimelig og gennemsigtig over for den registrerede

AnsvarlighedDen dataansvarlige skal kunne

dokumentere, at principperne overholdes

Artikel 6

Behandling af almindelige personoplysninger

11

Behandlingsgrundlag

a) Den registreredes samtykke til et eller flere konkrete formål

b) Nødvendig for udførelsen af en kontrakt hvori den registrerede er part (eller skridt forud for indgåelse af kontrakt)

c) Nødvendig for at opfylde en retlig forpligtelse der gælder for den dataansvarlige

d) Nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser

e) Nødvendig ift. udførelsen af en opgave i samfundets interesse

f) Nødvendig for at den dataansvarlige eller en tredjemand kan forfølge en berettiget interesse medmindre hensynet til den registreredes fundamentale rettigheder og friheder overstiger denne interesse, især når den registrerede er et barn

Juridisk grundlag for behandling af

almindelige personoplysninger

Artikel 9

Behandling af særlige kategorier af personoplysninger

12

Behandlingsgrundlag

a) Den registreredes udtrykkelige samtykke til specifikke formål

b) Den dataansvarliges forpligtelser iht. lov eller overenskomst på arbejds- og socialområdet

c) Den registreredes eller en anden persons vitale interesser hvor ej i stand til at give samtykke

d) Politiske, filosofiske, religiøse eller faglige foreninger når legitime aktiviteter mv.

e) Personoplysninger er tydeligvis offentliggjort af den registrerede

f) Nødvendig ift. at retskrav fastslås, gøres gældende eller forsvares

g) Nødvendig ift. væsentlige samfundsinteresser med hjemmel i lov

h) Nødvendig ift. behandling inden for sundhedssektoren mv.

i) Nødvendig ift. samfundsinteresser på folkesundhedsområdet

j) Arkivering i samfundets interesse eller til bl.a. statistiske formål (jf. art. 89)

Juridisk grundlag for behandling af

særlige kategorier af personoplysninger

Husk særlovgivning som f.eks.

helbredsoplysningsloven,

forskelsbehandlingsloven,

foreningsfrihedsloven mv.

Racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, helbredsmæssige og seksuelle forhold

Genetiske og biometriske data, ved behandling mhp. identifikation

Artikel 6 og 9 – artikel 7

Samtykke som behandlingsgrundlag

13

Et samtykke skal være

1. Frivilligt

Et reelt frit valg

Kan trækkes tilbage (hvorefter data skal slettes!)

Separat samtykke til forskellige databehandlinger

Gennemførelse af en kontrakt eller levering af en service må ikke betinges af samtykke til behandling eller brug af oplysninger, som ikke er nødvendige for gennemførelsen af kontrakten

2. Specifikt

3. Informeret

4. Utvetydigt (udtrykkeligt for følsomme oplysninger)

Kravene til

samtykke skærpes

Samtykket skal være tydeligt adskilt fra øvrig tekst (f.eks. ikke indeholdt i almindelige betingelser for brug af netbank, kundeaftaler osv.)

Samtykker til forskellige formål må ikke ”puljes”

Systemer skal indrettes, så der sikres opsamling og opbevaring af dokumentation (dokumentationskrav)

Opdatering af nuværende samtykkeformularer- og metoder

Forældre/værge samtykke for børn ved brug af informations-samfundstjenesteydelser

Permissions

Eksempler

Samtykkets begrænsninger i markedsføringssammenhæng

14

Konkurrence

Markedsføring

Abonnement

Markedsføring

Abonnement

Produktudvikling

Produkt

Nødvendighed

.. deltage i konkurrencen, hvis du giver samtykke til, at vi kan behandle dine personoplysninger til brug for markedsføring.”

.. tegne et abonnementet, hvis du giver samtykke til, at vi kan behandle dine personoplysninger til brug for markedsføring.”

.. købe vores bio-hyggepakke med automatisk klargøring af alt det, du bedst kan li’, hvis du giver samtykke til, at vi kan behandle dine personoplysninger for at finde frem til dine slik- og sodavandsfavoritter

.. tegne et abonnement, hvis du giver samtykke til, at vi kan behandle dine personoplysninger for at videreudvikle vores produkter.”

”Du kan kun… …

!

!

For almindelige

oplysninger: Overvej

interesseafvejning

Introduktion til forordningen og grundlæggende begreber

Grundlæggende principper og behandlingsregler

Databehandlere, sikkerhed og dokumentation

15

Den registreredes rettigheder – herunder profilering

Persondataforordningen – artikel 12-22

Den registreredes rettigheder

16

Oplysningspligt (udvidet)

Ret til – uden forespørgsel – at blive oplyst om behandling af oplysninger om ham/hende

Indsigt (udvidet)

Ret til – på forespørgsel – at få indsigt i hvilke oplysninger den dataansvarlige behandler om ham/hende selv

Berigtigelse

Ret til at få urigtige oplysninger berigtiget

Sletning

Ret til at få slettet oplysninger om ham/hende selv (”retten til at blive glemt”)

Begrænsning (ny)

Ret til at kræve begrænsning af behandling (”blokering”) i en periode

Dataportabilitet (ny)

Ret til at få oplysninger afgivet af vedkommende selv med til en ny leverandør

Indsigelse

Ret til at gøre indsigelse mod behandling af hans/hendes personoplysninger

Automatisk individuel beslutningstagning

Ret til ikke at blive underlagt automatisk, individuel beslutningstagning

Klart og enkelt sprog,

tidsfrister mv.

Persondataforordningen – artikel 21

Indsigelse mod direkte markedsføring

17

Behandling af personoplysninger til direkte markedsføring kan ske på baggrund af interesseafvejningsreglen

Den registrerede har til enhver tid ret at gøre indsigelse mod behandling af sine personoplysninger, herunder profilering, baseret på interesseafvejningsreglen

Personoplysningerne kan fortsat behandles, hvis den dataansvarlige har vægtige legitime grunde til behandlingen, der overstiger den registreredes interesser

Den registrerede til enhver tid ret til at gøre indsigelse mod behandling af sine personoplysninger til direkte markedsføring, herunder at gøre indsigelse mod profilering, i det omfang den vedrører direkte markedsføring

Personoplysningerne kan ikke længere behandles til direkte markedsføring (inkl. profilering med henblik på direkte markedsføring)

-----------------------------------------------------------------------------------------------

Den registrerede skal udtrykkeligt gøres opmærksom på disse rettigheder senest på tidspunktet for den første kommunikation

Oplysninger skal meddeles klart, utvetydigt og adskilt fra alle andre oplysninger

Ubetinget ret til at gøre indsigelse mod direkte

markedsføring

18

Definition - artikel 4(4)

Profilering

Enhver form for automatisk behandling af personoplysninger, der består i at anvende personoplysninger til at evaluere bestemte personlige forhold vedrørende en fysisk person,

navnlig for at analysere eller forudsige forhold vedrørende den fysiske persons

Hvad er profilering?

Eksempler

Personlighedstest af jobansøgere

Automatisk lønafregning i forhold til tidsregistrering ved brug af stempelkort eller lign.

Udstedelse af advarsel til medarbejder på grund af for sent fremmøde, idet

tidsregistreringssystem gav meddelelse herom

arbejdsindsats

økonomiske situation

helbred

personlige præferencer

interesser

pålidelighed

adfærd

geografisk position

bevægelser

19

Artikel 22

Automatiske individuelle afgørelser og profilering

Den registrerede har ret

til ikke at blive underlagt

afgørelser, som alene er

baseret på automatisk

behandling af

personoplysninger,

herunder profilering

Undtagelser

De registrerede kan underlægges afgørelser, som udelukkende er baseret på

automatisk behandling af personoplysninger, herunder profilering, hvis:

Afgørelsen er hjemlet i lokal lov

Beslutningen er nødvendig for kontraktindgåelse eller –opfyldelse

Den registrerede har givet sit udtrykkelige samtykke

Hvis baseret på kontraktsopfyldelse eller udtrykkeligt samtykke, har den

registrerede følgende rettigheder:

Ret til menneskelig intervention fra dataansvarlig

Ret til at den registrerede kan udtrykke sin holdning og udfordre afgørelsen

Følsomme oplysninger må kun behandles i forbindelse med automatiske

individuelle afgørelser og profilering, hvis

den registrerede har givet sit udtrykkeligt samtykke

eller behandlingen sker som følge af en offentlig interesse (dvs. ikke kontrakt)

Transparens, oplysningspligt, begrænsning i brug af data osv.

Behandling af personoplysninger

20

Transparens

Den registrerede skal have lettere kontrol med egne personoplysninger

Udtrykkeligt krav om gennemsigtighed: Den registrerede skal i langt højere grad end i dag have oplysninger om behandlingen af personoplysningerne

Kravet gælder i vidt omfang allerede i dag i medfør af persondatalovens behandlingsprincipper og ”god databehandlingsskik”

Informationen skal være lettilgængelig og letforståelig

Begrænsning i brug af data

Personoplysningerne skal være tilstrækkelige, relevante og begrænset til det nødvendige

Behandlingen af den registreredes personoplysninger skal være mindst muligt integritetskrænkende

Personoplysninger bør kun behandles, hvis formålet med behandlingen ikke kan opfyldes på anden måde

Cross device trackingIndsamling og behandling af personoplysninger skal ske

efter et need to know-princip (ikke nice to know)

Vigtigt, når man behandler personoplysninger til markedsføring

21

Samtykke som behandlingsgrundlag

Er der indhentet et gyldigt samtykke?

Kan behandlingen med fordel baseres på et andet grundlag end samtykke?

Oplysningspligten

Har den registrerede fået oplyst, at personoplysninger anvendes i forbindelse

med markedsføring, herunder profilering?

Har den registrerede fået oplysninger om retten til at frabede sig behandlingen

af personoplysninger til markedsføringsformål?

De grundlæggende behandlingsprincipper

Behandles personoplysningerne i overensstemmelse med de grundlæggende

behandlingsprincipper?

Er de nødvendige og passende sikkerhedsforanstaltninger implementeret?

Involvering af tredjeparter

Husk risikovurdering og databehandleraftaler

Hvad skal marketing huske, når der behandles

personoplysninger i forbindelse med

leadgenerering og kampagner?

Introduktion til forordningen og grundlæggende begreber

Grundlæggende principper og behandlingsregler

Databehandlere, sikkerhed og dokumentation

22

Den registreredes rettigheder – herunder profilering

Dataansvarlig og databehandler

23

Den dataansvarlige træffer beslutning om behandlingsform, -formål, og -

omfang

Databehandleren følger beslutningerne, men har et - begrænset – råderum

Kravene til den dataansvarliges art. 30-dokumentation er mere omfattende

En dataansvarlig skal f.eks.

1. foretage pre-audit af databehandleren

2. indgå en skriftlig aftale med lovpligtigt indhold med databehandleren

3. løbende auditere databehandleren i aftaleforholdet

En databehandler skal f.eks.

1. stille sig til rådighed for inspektioner og audits

2. indgå underdatabehandleraftaler med sine leverandører

3. give information til dataansvarlig f.eks. ved sikkerhedsbrud

4. bidrage til dataansvarliges konsekvensanalyser

Hvorfor er det vigtigt, hvem der er hvad?

GDPRs tidslinje for brug af databehandlere

24

Pre-audit af

databehandler

Løbende audits af databehandler

Vurdering af, om databehandleren kan stille

fornødne garantier

Skriftlig databehandleraftale

1. 2. 3. 4.

Eksempel på relation med databehandlere

25

ABC virksomhed indgår en aftale med et marketingbureau om at

udsende markedsføringsmateriale pr. e-mail

ABC beslutter

at marketingaktiviteterne skal finde sted

hvilket materiale der skal sendes ud og til hvem

Bureauet beslutter

hvilket software der skal anvendes til udsendelserne

Er bureauet dataansvarlig eller databehandler?

Case: E-mail marketing Art. 29-gruppens guidelines

(WP169)

Sikkerhed

26

Risikoanalyse

Behandling af personoplysninger skal ske under anvendelse af et tilstrækkeligt sikkerhedsniveau, som fastsættes under hensyntagen til de tekniske muligheder, omkostningerne samt karakteren af behandlingen, behandlingens omfang og formål samt risikoen for den registrerede”

Sikkerhedstiltag kan bl.a. omfatte

pseudonymisering og kryptering

sikring af systemers/processers fortrolighed, integritet, tilgængelighed, modstandsdygtighed

tilstrækkelige mekanismer til gendannelse af data

jævnlige tests, vurderinger og evalueringer af effektiviteten af sikkerhedsforanstaltningerne mv.

Artikel 35: DPIA

Hvis behandlingen medfører høj risiko, skal der udføres en konsekvensanalyse

Høj risiko

F.eks. behandling i stort omfang af særlige kategorier af oplysninger eller af personoplysninger vedrørende straffedomme og lovovertrædelser

Området for, hvornår konsekvensanalyser er påkrævet er snævert

Passende tekniske og organisatoriske sikkerhedstiltag

Artikel 32

Sikkerhed hos databehandleren

27

Databehandleren må kun handle efter dokumenteret instruks

Databehandleren er ansvarlig for egne sikkerhedsbrud

Den dataansvarlige kan holdes medansvarlig afhængig af

hvilke instrukser den dataansvarlige har udstedt

i hvilket omfang den dataansvarligt har undersøgt og kontrolleret databehandlerens sikkerhedsforanstaltninger

Den dataansvarlige skal indgå en databehandleraftale med databehandleren

Aftalens indhold er reguleret i forordningen og omfatter bl.a.:

Databehandleren skal implementere de nødvendige og passende sikkerhedsforanstaltninger

Databehandleren skal stille de nødvendige oplysninger til rådighed for, at den dataansvarlige kan undersøge databehandlerens sikkerhed

Databehandleren skal lade den dataansvarlige inspicere sikkerheden

Den dataansvarlige skal foretage tre former for kontrol

Forudgående kontrol – løbende kontrol – efterfølgende kontrol

Hvad med sikkerhed, når behandlingen

varetages af en databehandler?

Kendskab til sikkerhedsbrud

Eventuel databehandler underretter straks dataansvarlig

Undersøgelser og beskrive kategorier af data, antal af registrerede, kontaktoplysninger, foranstaltninger, konsekvenser for registrerede, mv.

Den dataansvarlige underretter den registrerede, hvis sikkerhedsbruddet indebærer en høj risiko

Tilføje til fortegnelsen over sikkerhedsbrud

Fortegnelse

Underretning til registrerede

Undersøgelse og beskrivelse

5

Sikkerhedsbrud

28

2

Anmeldelse til Datatilsynet

Den dataansvarlige anmelder tilsynsmyndigheden senest 72 timer efter kendskab

Evt. trinvist hvis det ikke er muligt at give oplysningerne samlet

4

Sikkerhedsbrud

3

1Hvad sker der, hvis alle

marketingdata kompromitteres?

Nye krav om underretningen inden for

bestemte tidsfrister

Klar, parat, start – GDPR i 3 step

Projektplanlægning

Ressourcer

Identifikation af processer

Interviews / spørgeskemaer

29

Step 1

Dataflow analyse

Udarbejdelse af art. 30-dokumentation

Implementering af tiltag

Træning af medarbejdere

Audits (interne og eksterne)

Step 3Compliance og dokumentation

Step 2

Gap-analyse

Juridisk gennemgang af svar på interviews

Valg af compliance tiltag og prioritering

Udarbejdelse og ændringer, fx samtykker, privatlivspolitikker, mv.

Forhandlinger med databehandlere/dataansvarlige og leverandører af IT-systemer

KONTAKTDETALJER

30

Pia Kirstine Voldmester, PartnerIP, markedsføring & persondataret

Direkte tlf. 26 86 64 28

E-mail pkv@bruunhjejle.dk