Den nyepersondataforordning - bechbruun.com/media/Files/Videncenter/Kursusmateriale/2016... · Hvad...
Transcript of Den nyepersondataforordning - bechbruun.com/media/Files/Videncenter/Kursusmateriale/2016... · Hvad...
Den nye persondataforordningHvordan kommer du i gang?
Status på processen mod forordningens ikrafttrædelse
Væsentligste ændringer:
Oplysningskategorier
Behandlingsbestemmelser
Skærpede krav til samtykke
Right to be forgotten/dataportabilitet
Accountability – dokumentationskrav
Privacy Impact Assessment
Data protection by design/default/pseudonymisering
Krav til databehandlere – selvstændige krav til dokumentation mv.
Krav til databehandleraftalens indhold
Notifikationspligt
Data Protection Officer (DPO)
Sanktioner
Praktisk compliance
2
Agenda
Hvad ligger fast?
Teksten i forordningen
Udestående
Den endelige vedtagelse dato for ikrafttrædelse (Q1-2018)
En dansk version af forordningsteksten
Hvad vælger Danmark (og de andre medlemsstater) at gøre på områder, hvor medlemsstaterne har frihedsgrader?
Hvornår begynder Kommissionen at vedtage delegerede retsakter?
Hvornår begynder de relevante organer (herunder de ”store” tilsynsmyndigheder) at komme med fortolkningsbidrag?
3
Status på processen mod forordningens ikrafttrædelse
Hvad er personoplysninger?
Cpr-nr.Navn Adresse
E-mail-adresse
MedarbejderID
Fødselsdato
Telefonnummer
Pasnr.
Initialer/Loginnavn
Køn Race
Helbredsoplysninger
Familiemæssige oplysninger
Uddannelse (karakterer)
Videoovervågning
Logning i IT-systemer
Straffeattest
Stilling
Rejseoplysninger Løn
Biometriske oplysninger
IP-adresse
MAC-adresse
GPS-oplysninger
Foto Kreditkortnummer
Nummerplade Genetisk information
Personlighedstest
Personlige produktionstal
Interesser
Elektroniske spor
Adgangskontrol
Pseudonyme oplysninger
Anonyme oplysninger
Politisk overbevisning
Religion
Fagforeningsmæssige tilhørsforhold
Seksuel overbevisning
Væsentlige sociale problemer
÷
Størrelse på tøj og sko
?
Oplysningskategorier
Persondataloven Persondataforordningen
Almindelige oplysninger Fx• Personnavn• Adresse• E-mail
Også• Oplysninger om strafbare forhold*
• Sociale problemer• Andre rent private forhold end
følsomme oplysninger
Semi-følsomme oplysninger • Oplysninger om strafbare forhold• Sociale problemer• Andre rent private forhold end
følsomme oplysninger
Følsomme oplysninger • Racemæssig eller etnisk baggrund• Politisk, religiøs eller filosofisk
overbevisning• Fagforeningsmæssige tilhørsforhold• Oplysninger om helbredsmæssige
eller seksuelle forhold
• Racemæssig eller etnisk baggrund• Politisk, religiøs eller filosofisk
overbevisning• Fagforeningsmæssige tilhørsforhold• Behandling af generiske eller
biometriske data med henblik på unik identifikation
• Oplysninger om helbredsmæssige eller seksuelle forhold
Cpr-nr. • Offentlige myndigheder: Mhp. entydig identifikation/journalnummer
• Private virksomheder: Lovbestemmelse/samtykke
• Aldrig offentliggørelse uden samtykke
• Medlemsstater kan fastsætte specielle betingelser, dog krav om tilstrækkelige sikkerhedsforanstaltninger
Regler stort set identiske med reglerne i persondataloven (-direktivet), dog
Medlemslande kan opretholde og vedtage særlovgivning vedr. behandling nødvendig for:
overholdelse af retlig forpligtelse
udførelsen af en opgave i samfundets interesse
udførelsen af en opgave, der henhører under offentlig myndighedsudøvelse pålagt den dataansvarlige
Behandling til nye formål (ikke samtykke eller lovgivning – både EU og medlemsstat) – dataansvarlig skal sikre forenelighed med det oprindelige indsamlingsformål, herunder
Sammenhæng mellem formål
Den kontekst som oplysningerne er indsamlet i
Personoplysningernes natur
Konsekvenserne af den påtænkte videre behandling
Eksistensen af egnede sikkerhedsforanstaltninger
Behandling til interne administrative formål i en koncern på baggrund af en legitim interesse
6
Behandlingsbestemmelser
Samtykke som behandlingsgrundlag:
Almindelige oplysninger: Samtykke
Følsomme oplysninger: Udtrykkeligt samtykke
En dataansvarlig skal altid kunne dokumentere at have modtaget et datasubjekts samtykke til behandling af personoplysninger
Samtykke kan ikke udgøre lovligt behandlingsgrundlag, hvis der er en klar ubalance mellem datasubjektet og den dataansvarlige
Vurdering af, om et samtykke er frivilligt: Samtykke som betingelse for tillægsydelser, der ikke er nødvendige i forhold til en kontrakt?
Det skal være lige så let at trække et samtykke tilbage som at afgive det
Hvis samtykke indhentes igennem en skriftlig erklæring med anden information – fx en ansættelseskontrakt eller en privacy policy – skal samtykkeanmodningen adskilles tydeligt fra øvrigt indhold
I forbindelse med børns (< 16 år) aktiviteter på sociale medier skal samtykke indhentes hos den, der har forældremyndigheden (medlemsstat kan vælge at nedsætte grænsen til 13 år)
7
Skærpede krav til samtykke
Ret til sletning
Oplysningerne er ikke længere nødvendige i forhold til formålet med indsamling og behandling, bl.a.
Tilbagekaldelse af samtykke eller manglende retligt grundlag
Datasubjektet modsætter sig behandlingen og ingen tungtvejende legitime grunde til fortsat behandling
Informationssamfundstjenester rettet mod børn (under 16 år – eller ned til 13 år)
Dataportabilitet
Datasubjekt ret til at få personoplysninger givet til en dataansvarlig i et struktureret, almindeligt brugt og maskinlæsbart format
Almindelige oplysninger: Samtykke eller aftale
Følsomme oplysninger: Udtrykkeligt samtykke
Behandlingen udføres via elektronisk databehandling
8
Right to be forgotten/dataportabilitet
Den dataansvarlige skal kunne dokumentere compliance med forordningen
Både dataansvarlige (og databehandlere) skal opbevare dokumentation for enhver behandling af personoplysninger (gælder ikke for virksomheder med under 250 ansatte)
Dokumentationen skal mindst omfatte:
Navn og kontaktoplysninger på den dataansvarlige eller den fælles dataansvarlige og dennes eventuelle repræsentant samt evt. DPO
Formålene med behandlingen
Beskrivelse af kategorier af datasubjekter og kategorier af personoplysninger vedrørende datasubjekter
Kategorier af modtagere af personoplysningerne
Evt. overførsel af personoplysninger til et tredjeland, herunder identifikation af dette tredjeland, og dokumentation af fornødne garantier ved overførsel til ikke-sikre tredjelande
En generel angivelse af tidsfristerne for sletning af de forskellige kategorier af personoplysninger
Hvis muligt, en beskrivelse de tekniske og organisatoriske sikkerhedsforanstaltninger
Accountability – dokumentationskrav
Konsekvensanalyse
Behandlinger af personoplysninger der indebærer specifikke risici for datasubjektets rettigheder og frihedsrettigheder i medfør af dens karakter, omfang eller formål (både dataansvarlig og databehandler)
Profilering
Behandling af helbredsoplysninger mhp. at træffe foranstaltninger eller beslutninger vedr. bestemte grupper
Overvågning af offentligt tilgængelige områder, navnlig ved omfattende brug af videoovervågning
Minimumskrav til PIA
Generel beskrivelse af den planlagte behandling,
Analyse af risiciene for datasubjektets rettigheder og frihedsrettigheder
De foranstaltninger, der er nødvendige for at afhjælpe disse risici, samt
Garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelsen af personoplysninger og påvise overensstemmelse med persondataforordningen
10
Privacy Impact Assessment
Indbygget databeskyttelse
Iværksættes under hensyntagen til det aktuelle tekniske niveau og omkostningerne i forbindelse med gennemførelsen
Både ved fastlæggelse af metoderne til behandling og når selve behandlingen foretages iværksættes tekniske og organisatoriske foranstaltninger og procedurer, fx pseudonymisering, så behandlingen opfylder kravene i forordningen og sikrer beskyttelsen af datasubjektets rettigheder
Databeskyttelse gennem indstillinger
Gennemførelse af mekanismer med henblik på, som udgangspunkt, at sikre
at der kun behandles nødvendige personoplysninger i forhold til behandlingsformålet
at der kun sker nødvendig indsamling og opbevaring i forhold til behandlingsformål (både mængde, omfang og periode)
Mekanismer sikrer navnlig, at personoplysninger som udgangspunkt ikke stilles til rådighed for et ubegrænset antal personer uden datasubjektets vidende
Pseudonymisering: Behandling af personoplysninger på en sådan måde, at det ikke er muligt at knytte oplysninger til datasubjektet uden brug af yderligere information (skal opbevares adskilt fra de pseudonymiserede oplysninger og underlægges tilstrækkelige sikkerhedsforanstaltninger)
11
Data protection by design/by default og pseudonymisering
Databehandlere underlagt langt strengere krav end efter persondataloven, bl.a.
Næsten identiske dokumentationskrav som dataansvarlige
Den dataansvarlige skal kun bruge databehandlere, der giver tilstrækkelige garantier vedr. implementering af passende tekniske og organisatoriske foranstaltninger, så behandlingen sker ioverensstemmelse med forordningens krav og sikrer beskyttelse af datasubjektets rettigheder
Databehandlerens ansvar ift. databehandleraftaler
Indhentelse af den dataansvarliges samtykke ved overladelse af oplysninger til andre/nye under-databehandlere
Underdatabehandleraftaler
Sikring af, at underdatabehandlere opfylder deres forpligtelser
Indgåelse af databehandleraftaler – stadig den dataansvarliges ansvar
12
Krav til databehandlere – selvstændige krav til dokumentation mv.
Behandlingens varighed
Formålet med behandlingen
Typer af data der behandles
Kategorier af datasubjekter
Databehandlerens pligter og rettigheder, navnlig at databehandlere skal:
alene behandle data efter den dataansvarliges dokumenterede instruks
sikre at medarbejdere, der behandler data, er underlagt en fortrolighedsforpligtelse
efterkomme alle lovpligtige sikkerhedsforanstaltninger
overholde krav vedrørende anvendelse af andre databehandlere
i muligt omfang bistå den dataansvarlige med at behandle begæringer, udarbejde PIA, underretning af tilsynsmyndigheden ved sikkerhedsbrud mv.
være i stand til over for den dataansvarlige at fremvise alt nødvendig information for at dokumentere compliance med reglerne i forordningen
13
Krav til databehandleraftalens indhold
”Brud på persondatasikkerheden": Brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet udbredelse af eller adgang til personoplysninger, der er videregivet, lagret eller på anden måde behandlet
Ved sikkerhedsbrud: Anmeldelse af brud til tilsynsmyndighed inden 72 timer
Indholdskrav til anmeldelse:
Beskrivelse af karakteren af bruddet på persondatasikkerheden, herunder kategorierne og antallet af berørte datasubjekter samt kategorierne og antallet af berørte registreringer
Angivelse af identitet og kontaktoplysninger for DPO’en eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes
Anbefaling af foranstaltninger, der kan afhjælpe de mulige skadevirkninger af bruddet på persondatasikkerheden
Beskrivelse af konsekvenserne af bruddet på persondatasikkerheden
Beskrivelse af de foranstaltninger, som den dataansvarlige foreslår eller har iværksat for at afhjælpe bruddet på persondatasikkerheden
Når et sikkerhedsbrud indebærer en høj risiko for datasubjektets rettigheder og friheder, skal den pågældende underrettes uden ugrundet ophold (ikke ubetinget notifikationspligt)
Databehandleren skal underrette den dataansvarlige uden ugrundet ophold
14
Notifikationspligt
Hvilke organisationer (både dataansvarlige og databehandlere) skal have en DPO?
Offentlige myndigheder
Private virksomheder, hvis kerneaktivitet består af omfattende databehandling, som kræver regelmæssig og systematisk monitorering
Private virksomheder, hvis kerneaktivitet består af en omfattende behandling af følsomme personoplysninger
Øvrige organisationer kan udpege DPO – medlemsstaterne kan lave særregler
Alle organisationer bør forankre arbejdet med persondata hos en DPO/databeskyttelsesansvarlig
Koncern kan udpege én fælles DPO
Udpegning på grundlag af faglige kvalifikationer og ekspertise inden for persondatalovgivning og -praksis
15
Data Protection Officer (DPO)
Opgaver (minimumskrav):
Underretning og rådgivning af dataansvarlig /databehandler om forpligtelser i henhold til forordningen
Overvåge gennemførelsen og anvendelsen af den dataransvarliges/databehandlerens regler om beskyttelse af personoplysninger – både fra EU og nationalt, herunder uddanne medarbejdere
Kontrollere den dataansvarliges/databehandlerens gennemførelse af PIA og anvendelsen af forudgående godkendelse eller høring af tilsynsmyndigheden i de situationer, hvor der er krav om dette
Samarbejde med og være kontaktpunkt for de relevante tilsynsmyndigheder
Dataansvarlig/databehandler sikrer, at DPO’en inddrages i alle spørgsmål vedr. beskyttelsen af personoplysninger
Refererer direkte til øverste ledelse (karakter af stabsfunktion)
Kan ikke afskediges eller straffes for udførelse af sine opgaver, men ikke en egentlig beskyttet stilling
16
Data Protection Officer (DPO)
Overtrædelsestype: Bødeniveau*:Offentlige myndigheder** Private virksomheder
• Indhentning af samtykke ift. børn• Behandlinger, som ikke kræver identifikation• Data protection by Design/Default• Delt dataansvar• Repræsentanter for dataansvarlige etableret udenfor
EU• Databehandlere• Databehandlerinstruks• Dokumentation for datastrømme• Samarbejde med tilsynsmyndigheden• Sikkerhedsforanstaltninger• Notifikation• Privacy Impact Assessment• Forudgående underretning af tilsynsmyndighed• Udpegning af DPO (herunder krav, stilling og opgaver)• Certificering
Op til EUR 10.000.000 Op til EUR 10.000.000 eller 2 %af virksomhedens årlige globale omsætning (den højeste af de to)
17
Sanktioner
* Danmark har særregler, så bøder bliver strafferetlige i stedet for administrative** Medlemsstaterne kan selv beslutte om og i hvilken udstrækning administrative bøder kan pålægges offentlige myndigheder
18
Sanktioner
Overtrædelsestype: Bødeniveau*:Offentlige myndigheder** Private virksomheder
• Grundlæggende principper for behandling• Grundlag for behandling (både almindelige og følsomme
oplysninger)• Betingelser for samtykke• Datasubjektets rettigheder• Sikkerhedsforanstaltninger
Op til EUR 20.000.000 Op til EUR 20.000.000 eller 4 %af virksomhedens årlige globale omsætning (den højeste af de to)
* Danmark har særregler, så bøder bliver strafferetlige i stedet for administrative** Medlemsstaterne kan selv beslutte om og i hvilken udstrækning administrative bøder kan pålægges offentlige myndigheder
Praktisk compliance
19
NU!
Fordi:
Medierne har allerede nu fokus på persondata
Compliance tager tid – typisk år i større organisationer
Ressourcer – eksternt, men ikke mindst internt
Hvem er stakeholders?
Compliance = konkurrenceparameter fremadrettet
UK survey april 2015:
Engelske forbrugere er villige til at betale for bedre beskyttelse af personoplysninger online
Compliance har indflydelse på en virksomheds salgsværdi/borgernes tillid til en myndighed
Klar til 2018 og dermed undgå bøder
Hvornår skal man begynde at tænke compliance?
Compliance projektet tilpasses den enkelte organisations behov, fokusområder og kultur
HR (ansatte)
Borgere
Kunder/forbrugere
Udvalgte selskaber/hele koncernen
Projektets formål, scope og resultat beskrives i compliance oplæg
Udpegning af compliance team/arbejdsgruppe/styregruppe
Afgørende med grundigt benarbejde i relation til:
Interne ressourcer
Eksterne ressourcer
Tidshorisont
Aktiv projektstyring og ”løbende sejre” er vigtigt i projekter, der strækker sig over længere tid!
Persondataretligt compliance projekt
22
Projektoverblik
Gap-analyse og overblik over aktuelt compliance-niveau og identifikation af højrisikoområder
Kortlægning af databehandlere, projekt-planlægning og etablering af projekt-organisation
Datastrøms-analyse, privacyrisk assessment
og evt. it-sikkerhed
Sikring af det rette juridiske grundlag gennem aftaler, anmeldelser og tilladelser, evt. BCR.
Etablering af interne politikker og procedurer, herunder DPO-organisation.
Uddannelse af medarbejdere, intern bevidsthed og kommunikation.
Kontrol, opfølgning og løbende rapportering, evt. årlig audit.
1: Foranalyse 2: Planlægning 3: Analyse 4: Risk mitigation 5: Procedurer 6: Forankring 7: Rapportering
Pre audit-rapport
Projektplan og organisering
Datagrundlag og risikoprofil
Anmeldelser/tilladelser
Klare retningslinjer
Trænings-programmer
Årlig revision
Fase
Resultat
Produkt
Beslutning og den fortsatte proces samt estimat på den fremadrettede investering ved næste fase
23
Tidsplan
Fase 1: Foranalyse Fase 2: Planlægning Fase 3: Analyse
Mar ‘16 Apr ‘16 Maj ‘16 Jun ‘16 Jul ‘16 Aug ‘16 Sep ‘16 Okt ‘16 Nov ‘16
Kick-off møde
Interviews
Gap-analyse
Pre audit-rapport
Kortlægning af databehandlere
Projektplan + organisation
Datastrømsanalyse
Risk assessment
It-audit
Datarapport
Møde
Sagsbehandling
Rapportering
HR Uønskethændelse
Konsekvens
Administration af medarbejderoplysninger 2 5 10
Uddannelse 2 2 4
Databehandleraftaler 4 4 16
Rejser 3 2 6
Overførsel af oplysninger til tredjelande 5 5 25
Payroll 4 5 20
24
Privacy Risk Assessment - eksempel
0
1
2
3
4
5
6
0 1 2 3 4 5 6
Privacy Risk
25
Privacy Risk Assessment Grafisk
Uønsket hændelse
Konsekvens
Overholdelse af forordningens omfattende krav
Væsentlig reduceret risiko for bøder og dårlig medieomtale
Dokumentation af datastrømme – ofte finder man ud af, at processer kan optimeres/forenkles
Øget awareness blandt ansatte om risikoen forbundet med behandling af persondata
Compliance bliver et vigtigt konkurrenceparameter fremadrettet i forhold til kunder/borgere, samarbejdspartnere, investorer mv.
Hvad giver et compliance-projekt den enkelte organisation?
Charlotte Bagger Tranberg
Persondataspecialist · Aarhus
IP & Technology
T +45 72 27 34 76M +45 25 26 34 76E [email protected]
Marie Albæk Jacobsen
Advokat · Aarhus
IP & Technology
T +45 72 27 33 49M +45 25 26 33 49E [email protected]
Mikkel Friis Rossa
Partner · Aarhus
IP & Technology
T +45 72 27 33 59M +45 25 26 33 59E [email protected]
Kontakt
27
KøbenhavnDanmark
AarhusDanmark
ShanghaiKina
T +45 72 27 00 00www.bechbruun.com
28