Den nye persondataforordningHvordan kommer du i gang?

Status på processen mod forordningens ikrafttrædelse

Væsentligste ændringer:

Oplysningskategorier

Behandlingsbestemmelser

Skærpede krav til samtykke

Right to be forgotten/dataportabilitet

Accountability – dokumentationskrav

Privacy Impact Assessment

Data protection by design/default/pseudonymisering

Krav til databehandlere – selvstændige krav til dokumentation mv.

Krav til databehandleraftalens indhold

Notifikationspligt

Data Protection Officer (DPO)

Sanktioner

Praktisk compliance

2

Agenda

Hvad ligger fast?

Teksten i forordningen

Udestående

Den endelige vedtagelse dato for ikrafttrædelse (Q1-2018)

En dansk version af forordningsteksten

Hvad vælger Danmark (og de andre medlemsstater) at gøre på områder, hvor medlemsstaterne har frihedsgrader?

Hvornår begynder Kommissionen at vedtage delegerede retsakter?

Hvornår begynder de relevante organer (herunder de ”store” tilsynsmyndigheder) at komme med fortolkningsbidrag?

3

Status på processen mod forordningens ikrafttrædelse

Hvad er personoplysninger?

Cpr-nr.Navn Adresse

E-mail-adresse

MedarbejderID

Fødselsdato

Telefonnummer

Pasnr.

Initialer/Loginnavn

Køn Race

Helbredsoplysninger

Familiemæssige oplysninger

Uddannelse (karakterer)

Videoovervågning

Logning i IT-systemer

Straffeattest

Stilling

Rejseoplysninger Løn

Biometriske oplysninger

IP-adresse

MAC-adresse

GPS-oplysninger

Foto Kreditkortnummer

Nummerplade Genetisk information

Personlighedstest

Personlige produktionstal

Interesser

Elektroniske spor

Adgangskontrol

Pseudonyme oplysninger

Anonyme oplysninger

Politisk overbevisning

Religion

Fagforeningsmæssige tilhørsforhold

Seksuel overbevisning

Væsentlige sociale problemer

÷

Størrelse på tøj og sko

?

Oplysningskategorier

Persondataloven Persondataforordningen

Almindelige oplysninger Fx• Personnavn• Adresse• E-mail

Også• Oplysninger om strafbare forhold*

• Sociale problemer• Andre rent private forhold end

følsomme oplysninger

Semi-følsomme oplysninger • Oplysninger om strafbare forhold• Sociale problemer• Andre rent private forhold end

følsomme oplysninger

Følsomme oplysninger • Racemæssig eller etnisk baggrund• Politisk, religiøs eller filosofisk

overbevisning• Fagforeningsmæssige tilhørsforhold• Oplysninger om helbredsmæssige

eller seksuelle forhold

• Racemæssig eller etnisk baggrund• Politisk, religiøs eller filosofisk

overbevisning• Fagforeningsmæssige tilhørsforhold• Behandling af generiske eller

biometriske data med henblik på unik identifikation

• Oplysninger om helbredsmæssige eller seksuelle forhold

Cpr-nr. • Offentlige myndigheder: Mhp. entydig identifikation/journalnummer

• Private virksomheder: Lovbestemmelse/samtykke

• Aldrig offentliggørelse uden samtykke

• Medlemsstater kan fastsætte specielle betingelser, dog krav om tilstrækkelige sikkerhedsforanstaltninger

Regler stort set identiske med reglerne i persondataloven (-direktivet), dog

Medlemslande kan opretholde og vedtage særlovgivning vedr. behandling nødvendig for:

overholdelse af retlig forpligtelse

udførelsen af en opgave i samfundets interesse

udførelsen af en opgave, der henhører under offentlig myndighedsudøvelse pålagt den dataansvarlige

Behandling til nye formål (ikke samtykke eller lovgivning – både EU og medlemsstat) – dataansvarlig skal sikre forenelighed med det oprindelige indsamlingsformål, herunder

Sammenhæng mellem formål

Den kontekst som oplysningerne er indsamlet i

Personoplysningernes natur

Konsekvenserne af den påtænkte videre behandling

Eksistensen af egnede sikkerhedsforanstaltninger

Behandling til interne administrative formål i en koncern på baggrund af en legitim interesse

6

Behandlingsbestemmelser

Samtykke som behandlingsgrundlag:

Almindelige oplysninger: Samtykke

Følsomme oplysninger: Udtrykkeligt samtykke

En dataansvarlig skal altid kunne dokumentere at have modtaget et datasubjekts samtykke til behandling af personoplysninger

Samtykke kan ikke udgøre lovligt behandlingsgrundlag, hvis der er en klar ubalance mellem datasubjektet og den dataansvarlige

Vurdering af, om et samtykke er frivilligt: Samtykke som betingelse for tillægsydelser, der ikke er nødvendige i forhold til en kontrakt?

Det skal være lige så let at trække et samtykke tilbage som at afgive det

Hvis samtykke indhentes igennem en skriftlig erklæring med anden information – fx en ansættelseskontrakt eller en privacy policy – skal samtykkeanmodningen adskilles tydeligt fra øvrigt indhold

I forbindelse med børns (< 16 år) aktiviteter på sociale medier skal samtykke indhentes hos den, der har forældremyndigheden (medlemsstat kan vælge at nedsætte grænsen til 13 år)

7

Skærpede krav til samtykke

Ret til sletning

Oplysningerne er ikke længere nødvendige i forhold til formålet med indsamling og behandling, bl.a.

Tilbagekaldelse af samtykke eller manglende retligt grundlag

Datasubjektet modsætter sig behandlingen og ingen tungtvejende legitime grunde til fortsat behandling

Informationssamfundstjenester rettet mod børn (under 16 år – eller ned til 13 år)

Dataportabilitet

Datasubjekt ret til at få personoplysninger givet til en dataansvarlig i et struktureret, almindeligt brugt og maskinlæsbart format

Almindelige oplysninger: Samtykke eller aftale

Følsomme oplysninger: Udtrykkeligt samtykke

Behandlingen udføres via elektronisk databehandling

8

Right to be forgotten/dataportabilitet

Den dataansvarlige skal kunne dokumentere compliance med forordningen

Både dataansvarlige (og databehandlere) skal opbevare dokumentation for enhver behandling af personoplysninger (gælder ikke for virksomheder med under 250 ansatte)

Dokumentationen skal mindst omfatte:

Navn og kontaktoplysninger på den dataansvarlige eller den fælles dataansvarlige og dennes eventuelle repræsentant samt evt. DPO

Formålene med behandlingen

Beskrivelse af kategorier af datasubjekter og kategorier af personoplysninger vedrørende datasubjekter

Kategorier af modtagere af personoplysningerne

Evt. overførsel af personoplysninger til et tredjeland, herunder identifikation af dette tredjeland, og dokumentation af fornødne garantier ved overførsel til ikke-sikre tredjelande

En generel angivelse af tidsfristerne for sletning af de forskellige kategorier af personoplysninger

Hvis muligt, en beskrivelse de tekniske og organisatoriske sikkerhedsforanstaltninger

Accountability – dokumentationskrav

Konsekvensanalyse

Behandlinger af personoplysninger der indebærer specifikke risici for datasubjektets rettigheder og frihedsrettigheder i medfør af dens karakter, omfang eller formål (både dataansvarlig og databehandler)

Profilering

Behandling af helbredsoplysninger mhp. at træffe foranstaltninger eller beslutninger vedr. bestemte grupper

Overvågning af offentligt tilgængelige områder, navnlig ved omfattende brug af videoovervågning

Minimumskrav til PIA

Generel beskrivelse af den planlagte behandling,

Analyse af risiciene for datasubjektets rettigheder og frihedsrettigheder

De foranstaltninger, der er nødvendige for at afhjælpe disse risici, samt

Garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelsen af personoplysninger og påvise overensstemmelse med persondataforordningen

10

Privacy Impact Assessment

Indbygget databeskyttelse

Iværksættes under hensyntagen til det aktuelle tekniske niveau og omkostningerne i forbindelse med gennemførelsen

Både ved fastlæggelse af metoderne til behandling og når selve behandlingen foretages iværksættes tekniske og organisatoriske foranstaltninger og procedurer, fx pseudonymisering, så behandlingen opfylder kravene i forordningen og sikrer beskyttelsen af datasubjektets rettigheder

Databeskyttelse gennem indstillinger

Gennemførelse af mekanismer med henblik på, som udgangspunkt, at sikre

at der kun behandles nødvendige personoplysninger i forhold til behandlingsformålet

at der kun sker nødvendig indsamling og opbevaring i forhold til behandlingsformål (både mængde, omfang og periode)

Mekanismer sikrer navnlig, at personoplysninger som udgangspunkt ikke stilles til rådighed for et ubegrænset antal personer uden datasubjektets vidende

Pseudonymisering: Behandling af personoplysninger på en sådan måde, at det ikke er muligt at knytte oplysninger til datasubjektet uden brug af yderligere information (skal opbevares adskilt fra de pseudonymiserede oplysninger og underlægges tilstrækkelige sikkerhedsforanstaltninger)

11

Data protection by design/by default og pseudonymisering

Databehandlere underlagt langt strengere krav end efter persondataloven, bl.a.

Næsten identiske dokumentationskrav som dataansvarlige

Den dataansvarlige skal kun bruge databehandlere, der giver tilstrækkelige garantier vedr. implementering af passende tekniske og organisatoriske foranstaltninger, så behandlingen sker ioverensstemmelse med forordningens krav og sikrer beskyttelse af datasubjektets rettigheder

Databehandlerens ansvar ift. databehandleraftaler

Indhentelse af den dataansvarliges samtykke ved overladelse af oplysninger til andre/nye under-databehandlere

Underdatabehandleraftaler

Sikring af, at underdatabehandlere opfylder deres forpligtelser

Indgåelse af databehandleraftaler – stadig den dataansvarliges ansvar

12

Krav til databehandlere – selvstændige krav til dokumentation mv.

Behandlingens varighed

Formålet med behandlingen

Typer af data der behandles

Kategorier af datasubjekter

Databehandlerens pligter og rettigheder, navnlig at databehandlere skal:

alene behandle data efter den dataansvarliges dokumenterede instruks

sikre at medarbejdere, der behandler data, er underlagt en fortrolighedsforpligtelse

efterkomme alle lovpligtige sikkerhedsforanstaltninger

overholde krav vedrørende anvendelse af andre databehandlere

i muligt omfang bistå den dataansvarlige med at behandle begæringer, udarbejde PIA, underretning af tilsynsmyndigheden ved sikkerhedsbrud mv.

være i stand til over for den dataansvarlige at fremvise alt nødvendig information for at dokumentere compliance med reglerne i forordningen

13

Krav til databehandleraftalens indhold

”Brud på persondatasikkerheden": Brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet udbredelse af eller adgang til personoplysninger, der er videregivet, lagret eller på anden måde behandlet

Ved sikkerhedsbrud: Anmeldelse af brud til tilsynsmyndighed inden 72 timer

Indholdskrav til anmeldelse:

Beskrivelse af karakteren af bruddet på persondatasikkerheden, herunder kategorierne og antallet af berørte datasubjekter samt kategorierne og antallet af berørte registreringer

Angivelse af identitet og kontaktoplysninger for DPO’en eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes

Anbefaling af foranstaltninger, der kan afhjælpe de mulige skadevirkninger af bruddet på persondatasikkerheden

Beskrivelse af konsekvenserne af bruddet på persondatasikkerheden

Beskrivelse af de foranstaltninger, som den dataansvarlige foreslår eller har iværksat for at afhjælpe bruddet på persondatasikkerheden

Når et sikkerhedsbrud indebærer en høj risiko for datasubjektets rettigheder og friheder, skal den pågældende underrettes uden ugrundet ophold (ikke ubetinget notifikationspligt)

Databehandleren skal underrette den dataansvarlige uden ugrundet ophold

14

Notifikationspligt

Hvilke organisationer (både dataansvarlige og databehandlere) skal have en DPO?

Offentlige myndigheder

Private virksomheder, hvis kerneaktivitet består af omfattende databehandling, som kræver regelmæssig og systematisk monitorering

Private virksomheder, hvis kerneaktivitet består af en omfattende behandling af følsomme personoplysninger

Øvrige organisationer kan udpege DPO – medlemsstaterne kan lave særregler

Alle organisationer bør forankre arbejdet med persondata hos en DPO/databeskyttelsesansvarlig

Koncern kan udpege én fælles DPO

Udpegning på grundlag af faglige kvalifikationer og ekspertise inden for persondatalovgivning og -praksis

15

Data Protection Officer (DPO)

Opgaver (minimumskrav):

Underretning og rådgivning af dataansvarlig /databehandler om forpligtelser i henhold til forordningen

Overvåge gennemførelsen og anvendelsen af den dataransvarliges/databehandlerens regler om beskyttelse af personoplysninger – både fra EU og nationalt, herunder uddanne medarbejdere

Kontrollere den dataansvarliges/databehandlerens gennemførelse af PIA og anvendelsen af forudgående godkendelse eller høring af tilsynsmyndigheden i de situationer, hvor der er krav om dette

Samarbejde med og være kontaktpunkt for de relevante tilsynsmyndigheder

Dataansvarlig/databehandler sikrer, at DPO’en inddrages i alle spørgsmål vedr. beskyttelsen af personoplysninger

Refererer direkte til øverste ledelse (karakter af stabsfunktion)

Kan ikke afskediges eller straffes for udførelse af sine opgaver, men ikke en egentlig beskyttet stilling

16

Data Protection Officer (DPO)

Overtrædelsestype: Bødeniveau*:Offentlige myndigheder** Private virksomheder

• Indhentning af samtykke ift. børn• Behandlinger, som ikke kræver identifikation• Data protection by Design/Default• Delt dataansvar• Repræsentanter for dataansvarlige etableret udenfor

EU• Databehandlere• Databehandlerinstruks• Dokumentation for datastrømme• Samarbejde med tilsynsmyndigheden• Sikkerhedsforanstaltninger• Notifikation• Privacy Impact Assessment• Forudgående underretning af tilsynsmyndighed• Udpegning af DPO (herunder krav, stilling og opgaver)• Certificering

Op til EUR 10.000.000 Op til EUR 10.000.000 eller 2 %af virksomhedens årlige globale omsætning (den højeste af de to)

17

Sanktioner

* Danmark har særregler, så bøder bliver strafferetlige i stedet for administrative** Medlemsstaterne kan selv beslutte om og i hvilken udstrækning administrative bøder kan pålægges offentlige myndigheder

18

Sanktioner

Overtrædelsestype: Bødeniveau*:Offentlige myndigheder** Private virksomheder

• Grundlæggende principper for behandling• Grundlag for behandling (både almindelige og følsomme

oplysninger)• Betingelser for samtykke• Datasubjektets rettigheder• Sikkerhedsforanstaltninger

Op til EUR 20.000.000 Op til EUR 20.000.000 eller 4 %af virksomhedens årlige globale omsætning (den højeste af de to)

* Danmark har særregler, så bøder bliver strafferetlige i stedet for administrative** Medlemsstaterne kan selv beslutte om og i hvilken udstrækning administrative bøder kan pålægges offentlige myndigheder

Praktisk compliance

19

NU!

Fordi:

Medierne har allerede nu fokus på persondata

Compliance tager tid – typisk år i større organisationer

Ressourcer – eksternt, men ikke mindst internt

Hvem er stakeholders?

Compliance = konkurrenceparameter fremadrettet

UK survey april 2015:

Engelske forbrugere er villige til at betale for bedre beskyttelse af personoplysninger online

Compliance har indflydelse på en virksomheds salgsværdi/borgernes tillid til en myndighed

Klar til 2018 og dermed undgå bøder

Hvornår skal man begynde at tænke compliance?

Compliance projektet tilpasses den enkelte organisations behov, fokusområder og kultur

HR (ansatte)

Borgere

Kunder/forbrugere

Udvalgte selskaber/hele koncernen

Projektets formål, scope og resultat beskrives i compliance oplæg

Udpegning af compliance team/arbejdsgruppe/styregruppe

Afgørende med grundigt benarbejde i relation til:

Interne ressourcer

Eksterne ressourcer

Tidshorisont

Aktiv projektstyring og ”løbende sejre” er vigtigt i projekter, der strækker sig over længere tid!

Persondataretligt compliance projekt

22

Projektoverblik

Gap-analyse og overblik over aktuelt compliance-niveau og identifikation af højrisikoområder

Kortlægning af databehandlere, projekt-planlægning og etablering af projekt-organisation

Datastrøms-analyse, privacyrisk assessment

og evt. it-sikkerhed

Sikring af det rette juridiske grundlag gennem aftaler, anmeldelser og tilladelser, evt. BCR.

Etablering af interne politikker og procedurer, herunder DPO-organisation.

Uddannelse af medarbejdere, intern bevidsthed og kommunikation.

Kontrol, opfølgning og løbende rapportering, evt. årlig audit.

1: Foranalyse 2: Planlægning 3: Analyse 4: Risk mitigation 5: Procedurer 6: Forankring 7: Rapportering

Pre audit-rapport

Projektplan og organisering

Datagrundlag og risikoprofil

Anmeldelser/tilladelser

Klare retningslinjer

Trænings-programmer

Årlig revision

Fase

Resultat

Produkt

Beslutning og den fortsatte proces samt estimat på den fremadrettede investering ved næste fase

23

Tidsplan

Fase 1: Foranalyse Fase 2: Planlægning Fase 3: Analyse

Mar ‘16 Apr ‘16 Maj ‘16 Jun ‘16 Jul ‘16 Aug ‘16 Sep ‘16 Okt ‘16 Nov ‘16

Kick-off møde

Interviews

Gap-analyse

Pre audit-rapport

Kortlægning af databehandlere

Projektplan + organisation

Datastrømsanalyse

Risk assessment

It-audit

Datarapport

Møde

Sagsbehandling

Rapportering

HR Uønskethændelse

Konsekvens

Administration af medarbejderoplysninger 2 5 10

Uddannelse 2 2 4

Databehandleraftaler 4 4 16

Rejser 3 2 6

Overførsel af oplysninger til tredjelande 5 5 25

Payroll 4 5 20

24

Privacy Risk Assessment - eksempel

0

1

2

3

4

5

6

0 1 2 3 4 5 6

Privacy Risk

25

Privacy Risk Assessment Grafisk

Uønsket hændelse

Konsekvens

Overholdelse af forordningens omfattende krav

Væsentlig reduceret risiko for bøder og dårlig medieomtale

Dokumentation af datastrømme – ofte finder man ud af, at processer kan optimeres/forenkles

Øget awareness blandt ansatte om risikoen forbundet med behandling af persondata

Compliance bliver et vigtigt konkurrenceparameter fremadrettet i forhold til kunder/borgere, samarbejdspartnere, investorer mv.

Hvad giver et compliance-projekt den enkelte organisation?

Charlotte Bagger Tranberg

Persondataspecialist · Aarhus

IP & Technology

T +45 72 27 34 76M +45 25 26 34 76E cbt@bechbruun.com

Marie Albæk Jacobsen

Advokat · Aarhus

IP & Technology

T +45 72 27 33 49M +45 25 26 33 49E maja@bechbruun.com

Mikkel Friis Rossa

Partner · Aarhus

IP & Technology

T +45 72 27 33 59M +45 25 26 33 59E mif@bechbruun.com

Kontakt

27

KøbenhavnDanmark

AarhusDanmark

ShanghaiKina

T +45 72 27 00 00www.bechbruun.com

28