Embed Size (px)
Citation preview
Overblikoverpersondataforordningen
v/advokatJesperLøfflerNielsen
1
Agenda
2
Målsætning
- Overblikoverpersondataforordningen– Indholdogkonsekvenser
Konkreteemner
1. Hvaderpersondata?
2. Hvorforskærpesreglerne?
3. Præsentationafreglerne– degældendeogdenye
4. Gennemførelseafetcompliance-projekt
5. Relevantelinksogvejledninger
6. HvadkanFOCUShjælpemed?
7. 10goderåd
Hvaderpersondata?
Hvaderpersondata?
Personoplysninger- F.eks.navn,telefonnummer,adresse,e-mailadresserm.v.- Menogså:OplysningeromkontaktpersonerhosB2B-kunderogsamarbejdspartnere
(f.eks.ietCRMsystem),navnepåenkeltmandsvirksomheder,IP-adresser,”anonyme”adfærdsoplysningerosv.
Primærtveddigital behandling- Dogogsåsystematiskbehandlingaf”analoge”oplysninger(f.eks.etregister)
Stortsetallevirksomhederbehandlerpersondata
Hvaderpersondata?
Dererforskelpåpersonoplysninger- Skærpedekravvedbehandlingaf”følsommeoplysninger”
- Race,etniskoprindelse,politisk/religiøs/filosofiskoverbevisning,fagforeningsmæssigetilhørsforhold,helbredsoplysninger,seksualitet,genetiske/biometriskeoplysninger
- F.eks.indflydelsepåhvornåroplysningermåbehandles,sikkerhedskrav,nødvendigeprocedurerosv.
- Andresærligetyperafoplysninger,f.eks.CPR-numreogoplysningeromstrafbareforhold- Kravendnuikkeendeligtfastlagt
- Ctr.fortroligeoplysninger- Persondatareglerneerligeglademederhvervshemmeligheder…
Hvorforskærpesreglerne?
Adresselister
Grundlovenaf1849:”Boligen erukrænkelig.Huusundersøgelse,BeslaglæggelseogUndersøgelseafBreve ogandrePapirermaa,hvoringenLovhjemlerensæregenUndtagelse,aleneskeefterenRetskjendelse.”
Reglerneskalindhenteteknologien
BeskyttelseafpersondataeridagenMENNESKERET!
Gratistjenesterogbekvemmelighed”betales”medøgetbehandlingafpersondata
FlereGBforfærrepenge
Virksomhederogmyndighederindsamlerstadigflerepersondata
Begrænsetøkonomiskincitamentforatbegrænseindsamlingenogopbevaringsperioden
Præsentationafreglerne
-
HvadgælderNU?
Degældenderegler
Persondataloven(2000)§ ImplementeringafEU-Persondatadirektivfra1995
à Hvertlandharforskelligeregler
§ Enstordelafreglerneidenkommendeforordninggælderalleredeidag– MåskedenmestovertrådteloviDanmarkefterfærdselsloven…
Degældenderegler– ikortetræk
Krav Eksempel
Enhverbehandling(dvs.altfraindtastning tilsletning)kræverhjemmel
Iformafetsamtykkeelleretlovgrundlag
Enhverbehandlingskalopfyldenoglegrundlæggendekrav
Atderikkeindsamlesflereoplysningerendnødvendigtogikkeilængeretidendnødvendigt
Denregistreredeharenrække rettigheder Kravpåatbliveoplystomenhverbehandlingogfåindsigtioplysningeromsigselv
Kravtilaftalegrundlagetmellemdendataansvarligeogdatabehandleren
Typiskdenvirksomhed,somindsamleroplysningerogenIT-leverandør
Kravtilsikkerhedsforholdene Gælderbådeorganisatoriskogteknisk
SærligekravvedoverførselafdatatillandeudenforEU
Eksempelvis såfremtmanharoutsourcetsinIT-drifttilIndien,harenafdelingiRusland,anvenderenhosting-leverandørfraUSAosv.
Præsentationafreglerne
-
HvaderNYT?
Skærpedekravframaj2018
Dennyepersondataforordning
Baggrundoghistorik
Persondataloven(2000)§ Førinternettetsudbredelse=forældet
FørsteudkasttilforordningfraKommissionen(2012)§ Overordnedeønskererbl.a.
– EnsartederegleriEU– Kontrollentilbagetilindividet(modvægttilpersondatasomenvare)– Hårderesanktioner
§ Omfattendeforhandlinger
Endeligvedtagelseafforordning(april2016)§ Ikrafttræden:25.maj2018§ Fremtilikrafttræden:Suppl.retningslinjer,nationalesærreglerm.v.
Vigtigeændringer
Ændring Konsekvens
Skærpet bødeniveauogflereressourcertilnationaletilsyn
Bøder optilEUR20.000.000/4%afglobalomsætning
Skærpedekravtil overblikovervirksom-hedensbehandlingafpersonoplysninger
Stillerkravtiløgetansvarlighed
SkærpedekravtildokumentationGælder persondatapolitik,organisatoriskforankring,procedureveddatabrud,risikovurderingervednyetiltagosv.
Skærpedekravtilvirksomhedensorganisatoriskeogtekniskeforanstaltninger
IT-systemerskalindrettetefterprincipperneom”PrivacybyDesign”og”PrivacybyDefault”).
Vigtigeændringer(fortsat)
Ændring Konsekvens
VissevirksomhederharpligttilatudpegeeninternellereksternDataProtectionOfficer(DPO)
Nogle virksomhederharpligt tilatudpegeenpersondataretsekspertmedansvarforvirksomhedensbehandling – andrebørudpegeen
Pligttilatanmeldebrudpådatasikkerheden Anmeldelsenskalsomudgangspunktskeinden72 timer
Databehandlere fåretmereselvstændigtansvar
Det gældermangeIT-leverandører
Ændredereglerneomgrænseoverskridendebehandlinger
Herunderift.reglernesanvendelsesområde,”one-stop-shop”forbehandlingenafklagesagerm.v.
Præsentationafreglerne
-
Hvadbliverkravene
FREMADRETTET?
Defremadrettedekrav
Oversigt§ Ingenbehandlingafpersondataudenhjemmel§ Grundlæggendeprincipperforbehandlingen§ Deregistreredesrettigheder§ Deforpligtedeefterreglerne:Dataansvarligeogdatabehandlere§ Kravtilsikkerhedsforhold
Behandlingafpersonoplysningererulovligt!
…medmindredererlovligtgrundlagtilbehandlingenipersondataforordningens,f.eks.iformafsamtykke,aftale,andrelovregler,interesseafvejningm.v.
Kilde:Forbes.com
Principperforbehandlingafpersonoplysninger
Princip Eksemplerpå praktiskcompliance
1. Lovlighed,rimelighedog gennemsigtighed
Indhentelseafsamtykke, overholdelseafoplysningspligtmv.
2. Formålsbegrænsning Sikreatoplysningerikke”genbruges”tilandreformålenddetlovlige(f.eks.markedsføring)
3.Dataminimering Fra”nicetoknow”til”needtoknow”
4.Rigtighed Udarbejde procedurefor håndteringafindsigelserfraregistrerede
5.Opbevaringsbegrænsning Fastlægge procedure forsletning
6.Integritetogfortrolighed FåstyrpåIT-sikkerheden
7.Ansvarlighed Dokumentereoverholdelsenafde6førsteprincipper
Deregistreredesrettigheder
Egetinitiativ Kræveranmodning
Oplysnings-pligt(rettil
information)
Indsigtsretog
korrektions-ret
Indsigelses-ret
Rettilsletningog
databegræns-ning
Rettildata-portabilitet
Hvemeransvarlig?
Dataansvarlig Databehandler
Hvem? Virksomheden/myndighedensomafgør,hvilkeoplysningerderindsamles- ogtilhvilkeformål
Behandlingsomforetagespå vegneafendataansvarlig,f.eks.hosting-leverandører,cloud-leverandører,marketing-bureauerm.v.
Ansvar? Primært ansvarssubjektNu:AleneafledtansvarMaj2018:Selvstændigtansvar
Forpligtelser?(eksempler)
§ Generellekravtilbehandlingen§ Ansvarforatenhver
behandlingharhjemmelireglerne
§ Overholdelse afdenregistreredes rettigheder
§ PrivacybyDesignogDefault
§ Passendetekniskeogorganisatoriskeforanstaltninger
§ Kravomdatabehandleraftale§ Alenehandleefterinstruksfra
dataansvarlig§ Kravomdatabehandleraftale
Kravomdatabehandleraftale
Skalaltid foreligge§ …nårendatabehandlerbehandlerdatapåvegneafendataansvarlig
Kravtilindhold(ikkeudtømmende)§ Specifikationafhvilkedataderbehandles§ Dokumenteretinstruks§ Medarbejderautorisationer§ Teknisksikkerhed§ Underdatabehandlere§ ”Bistandtil”indberetningveddatabrud,DataPrivacyImpactAssesmentm.v.
Behandlingssikkerhed (artikel32)
”1.Underhensyntagentildetaktuelletekniskeniveau,implementeringsomkostningerneogdenpågældendebehandlingskarakter,omfang,sammenhængogformålsamtrisicieneafvarierendesandsynlighedogalvorforfysiskepersonersrettighederogfrihedsrettighedergennemførerdendataansvarligeogdatabehandlerenpassendetekniskeogorganisatoriskeforanstaltninger foratsikreetsikkerhedsniveau,derpassertildisserisici,herunder…”
Behandlingssikkerhed(fortsat)
Organisatorisksikkerhed
Teknisksikkerhed
Implementeringafrelevantetiltag,fx:
- Pseudonymisering &kryptering
- SikkerMail
- Brugerrettigheder
- Fysiskadgang
- Back-up
- Politikker&processer
Vurderingafsikkerhed:
- Behandlingensomfang
ogkarakter
- Risiko
- Omkostninger
- Tilgængeligteknologi
Udpegningafdatabeskyttelsesrådgiver(DPO)
KravomudpegningafDataProtection Officernår:§ Offentligmyndighed§ Virksomhedhviskernaktiviteterovervågning afregistrerede(f.eks.tracking afonlineadfærd)
§ Virksomhedhviskernaktivitetindebærerbehandlingaffølsommeoplysninger ivæsentligtomfang
Persondatakommeruundgåeligttilatspilleencentralrolle.Udpegelseafeninternpersondataansvarligerderfor
oftestengodide!
Int.virksomhederogdatabehandlereudenforEUGælderogsåsamarbejdspartnere/forhandlerem.v.medadgangtilsystemer
Sikretredjelande,sektorer ogint.
organisationer,jf.art.45
Fornødnegarantier,jf.art.46og47
Dekonkretegrundlag/singulæreoverførsler,
jf.art.49
§ HerunderPrivacyShieldforUSA(krævercertificeringafUS-virksomhed– deflestestørreIT-virksom-hedereromfattet)
§ Retligtbindendeinstrument§ Bindendevirksomhedsregler
(tilsynskalgodkendereglerne)
§ Standardbestemmelser§ Adhoc-aftaler/
administrativeordninger(tilsynskalgodkende)
§ Udtrykkeligtsamtykke§ Opfyldelseafenkontrakt
meddenregistrerede/idenregistreredesinteresse
§ Vigtigesamfundsinteresser§ Retskrav§ Vitaleinteresser§ Informationsregister§ Interesseafvejning
(tilsynskalorient.)Reglerneerkomplekse!
Gennemførelseafet
compliance-projekt
6fasertilatblivecompliant
1• Indledendeoverblikogplanlægning:Hvoromfattendebliveropgavenfornetopdinvirksomhed,oghvilkeinterneogeksterneressourcerkrævesder?
2 •Kortlægningafpersondatabehandling:Hvilkedatabehandlesivirksomhedenoghvordan?
3 •Gap-analyse:Hvoroverholdervirksomhedenikkereglernepånuværendetidspunkt?
4• Fastlægindsatsområder:Eksemplerpåindsatsområdererudarbejdelseafnødvendigdokumentation,uddannelseafmedarbejdere,ændringeriadgangsforholdtilIT-systemerm.v.
5• Implementering:Udarbejdelseafenhandlingsplan- beskrivelseafindsatsområder,angivelseafhvemdereransvarligfor,atopgavenudføressamtentidsplanfor,hvornåropgavenskalværeudført.
6• Løbendekontrol:Reglernekræverløbendedokumentation,udarbejdelseafenkonsekvensanalysevedhøjrisikobehandlinger,anmeldelsespligtveddatabrud,revisionafpolitikkerogretningslinjersamthåndteringafklager.
Fase1:
IndledendeoverblikogplanlægningHvoromfattendebliveropgavenfornetopdinvirksomhed,oghvilkeinterneogeksterneressourcerkrævesder?
HURTIG OMSTILLING TIDSKRÆVENDEOMSTILLING
Harhidtilhaftstorfokuspåhåndteringafpersondataefterdegældenderegler
Håndteringafpersondataeftergældendereglerharhidtilhaftbegrænsetbevågenhed
Lillevirksomhed Storvirksomhed
B2Bmarked B2Cmarked
IngenellerétsimpeltIT-system FlereIT-systemer,somerintegreret
Behandlerkunalm.personoplysninger Behandlerfølsommeoplysninger(race,religion,helbredsoplysningermv)
Operererkunpådetdanskemarked Grænseoverskridendesalg,driftmv.
Aldatabehandlingskerinternt Eksterneaktørerharheltellerdelvistadgangtilvirksomhedensdata(IT-leverandører,marketingvirksomheder,myndighederm.fl.)
Fase2:
Kortlægningafpersondatabehandling- hvilkedatabehandlesivirksomhedenoghvordan?
Overblikogkontrol§ Mankanikkeoverholdereglerne,hvismanikkeharstyrpå/overblikoversin
databehandling§ Kortlægningkangørespåmangeforskelligemåderogniveauer:
System-niveau:F.eks.analyseafdataflowmedudgangspunktiIT-systemer
Proces-niveau:Behandlingafoplysningerfraindsamling tilsletning (ogalt derimellem!)irelationtilf.eks.rekruttering,ansatte,markedsføring,salg,kundeserviceosv.
Fase3:
Analysérpotentiellerisici- hvoroverholdervirksomhedenikkereglernepånuværendetidspunkt?
Startermanfra0ellerermanhalvvejsimålallerede?§ Compliance-opgavenermindre,hvismanharanvendtdenødvendigeressourcerpå
atoverholdedegældenderegler
Eksemplerpåfaldgruber:§ Modtagerdenregistrerededeoplysningerreglernekræver?§ Ersikkerhedsniveauettilstrækkeligt?§ OverholderaftalermedIT-leverandørerkravenetildatabehandleraftaler?§ Brugesoplysningertilandreformål,enddeoprindeligterindsamlet?§ Slettesoplysninger,nårbehandlingikkelængereernødvendigforatvaretagedet
oprindeligeformål?§ Personoplysningerogmarkedsføring– indhentesdersamtykke,ogerdet
tilstrækkeligtogdokumenteret?
Fase4:
Fastlægindsatsområder
Udarbejdelseafhandlingsplan§ Ledelsesmæssigprioritering
§ Fastlægogprioritérdenødvendigeindsatser– irettetidogmedretteprioritet
§ Risikoafvejning– investeringerskalståmålreelrisiko
§ Rollefordelinginterntogeksternt(allesansvar=ingensansvar)
Fase5:
Implementering- hvilkekonkreteskridternødvendigeforatleveoptilreglerne?
Eksempler:
§ Udarbejdelseafnødvendigdokumentation(!)
§ Interneretningslinjerforhåndteringafindsigelser,periodeforopbevaring
afoplysningerm.v.
§ Uddannelseafmedarbejdere
§ IT-sikkerhed,nødvendigeIT-relateredeinvesteringer/ændringerm.v.
Fase6:
Løbendekontrol- overholdelseerikkeeténgang-projektmenenløbendeproces!
Eksempler:§ Løbendedokumentation
§ Udarbejdelseafenkonsekvensanalysevedhøjrisiko-behandlinger
§ Sletningafoplysninger(”rettentilatbliveglemt”)
§ Anmeldelsespligtveddatabrud(72timer)
§ Revisionafpolitikkerogretningslinjer
§ Håndteringafklagerm.v.
Vilduvidemere?
Relevantelinks:§ Databeskyttelsesreform:dbreform.dk§ Datatilsynet:datatilsynet.dk/erhverv/om-erhverv/§ PrivacyKompasset:https://privacykompasset.erhvervsstyrelsen.dk/
Vejledningerm.v.:§ Datatilsynets12spørgsmål§ DanskIndustri,DanskErhvervm.v.§ FocusAdvokaterspjeceompersondatabehandling
Særligtforfolk,somarbejdermedpersondata:§ PersondataretligtNetværkSyddanmark§ Heldagskursus17.og22.maj2017
HvadkanFOCUShjælpemed?
Rådgivningtilpassetdinvirksomhed§ Juridiskbistandtilallefaser§ Rådgivning,facilitering,undervisningmv§ Inddragelseafandenekspertise(!)
Eksemplerpåbistand/pakker§ Indledendeworkshop§ JuridiskGAP-analyse§ Uddannelseafmedarbejdere§ Bistandtiludarbejdelseafdokumentation§ Fuldcompliance-pakkeinkl.udarbejdelseafcompliance-rapport
HvadkanFOCUShjælpemed?
FocusAdvokater
IT-sikkerhed
EksternDPO
ForskereSoftwaretil
dokumentation,opfølgningm.v.
Revision/certificering
Heldagskursus17.og22.maj2017
§ Kursusfordemsomskalarbejdemedpersondataipraksis§ Skræddersyettilhhv.virksomhederogoffentligemyndigheder§ Bl.a.oplægfra:
– InternDPO– EksternDPO– JuristfraDigitaliseringsstyrelsen– Lektormedspecialeipersondatahosoffentligemyndigheder– EksperteriIT- oginformationssikkerhed– Deltageriarbejdetmeddenkommendebetænkning– Etc.
Opsummering- 10goderåd
1. Sætjerindireglerne– deterikkeendøgnflue…
2. Virksomhederbehandlerpersondataflerestederenddetror- Fåoverblikoverhvilke
personoplysningerIbehandler,hvordan,hvorfor,hvorlængeosv.
3. Udpegeninternpersondataansvarlig– ogsåselvomIikkeeromfattetafkravetomenDPO
4. GennemsejeresaftalermedIT-leverandørerogandredatabehandlere– leverdeoptildenyekrav?
5. Persondatahandlerikkekunomjura– menogsåomorganisatoriskeprocesserogIT
6. Implementérrelevanteprocedurer– oghuskatfølgeogvedligeholdedem!
7. Fåstyrpåsikkerheden– eventueltmedeksternbistand
8. Dokumentérjeresbehandlingogprocedurer– SkrivhvadIgør,oggørhvadIskriver!
9. Denyereglerskaltagesalvorligt– meninvesterederessourcerskalståmålmedvirksomhedens
størrelse,karakterafbehandlingogikkemindstrisici
10. Komigangigodtid– allekanikkeventetilsidsteøjeblik
Spørgsmål?
Kontakt
JesperLøfflerNielsenAdvokat,Ph.D.
HvisduvilmodtagenyhederomPERSONDATA,såskrivdigpålisten!
FOCUSADVOKATERP/S- focus-advokater.dkODENSE:Englandsgade25,5100OdenseCKOLDING:Toldbodgade10,4.,6000KoldingKØBENHAVN:Amaliegade40B,1256KøbenhavnK
Forretningsområder:§ IT-ret§ Kontraktret§ Immaterialret§ Retssagsbehandling
Kontakt:Tlf.:63144511Mobil: 21545102E-mail:[email protected]
