Adapt seminar17. januar 2018
Persondataforordningen
Page 2
Program
1. Indledende bemærkninger
2. Vigtige begreber
3. Overblik over krav og forpligtelser i Persondataforordningen
4. Hvad betyder Persondataforordningen for jer?
5. Konkrete cases
6. Spørgsmål
Page 3
Indledende bemærkningerVi har haft persondataloven siden 2000• Baseret på persondatadirektivet (1995)• 15-20 år med voldsom udvikling• Forskelle i implementering af direktiv i 28 lande
General Data Protection Regulation (GDPR) • Samme regler i hele EU• Udvidelse af persondataloven på nogle områder• Finder anvendelse fra den 25. maj 2018
Why all the fuzz?• Bøder: op til EUR 20 mio. eller 4% af årlig global omsætning• For at tilskynde overholdelse indføres et markant sanktionsniveau• Effektiv, proportional med overtrædelsen og have afskrækkende virkning• Ikke kun dataansvarlige, men også databehandlere kan ifalde bødestraf• GDPR compliance er blevet et salgs -og konkurrenceparameter• Troværdighed og image
Page 4
Program
1. Indledende bemærkninger
2. Vigtige begreber
3. Overblik over krav og forpligtelser i Persondataforordningen
4. Hvad betyder Persondataforordningen for jer?
5. Konkrete cases
6. Spørgsmål
Page 5
Vigtige begreberBehandling af personoplysninger
GDPR Art 2:
”Denne forordning finder anvendelse påbehandling af personoplysninger…”
Page 6
Vigtige begreberPersonoplysning
”enhver form for information om en identificeret eller identificerbar fysisk person"
• Kun fysiske personer – ikke oplysninger om virksomheder eller myndigheder
• Identificeret eller identificerbar = Personhenførbar – alle midler tages i betragtning – hvis personen kan identificeres af ‘nogen’.
• Uanset kilde : • Oplyst af personen selv • indhentet fra andre kilder • Jeres egne eller andres observationer – også subjektive.
• Uanset format: Nedskrevet, billede, video, lydoptagelse, fingeraftryk, biologisk materiale
• Pseudonymisering – Kryptering - Anonymisering
Page 7
Vigtige begreber Eksempler på personoplysninger
• Peter Hansen, CPR nr. 200687-1233 er ansat i virksomhed A
• Kattens stamnavn er Nero den tredje.
• IP 145.97.39.155
• Bilen med registreringsnummer AF 22 454 holder ulovligt parkeret
• Jordforurening på sommerhusgrund
• Et portrætfoto uden tilhørende tekst eller forklaring
• Registrering af medarbejderes færden via GPS i bilen
• Kontaktoplysninger på ansatte hos en virksomheds leverandører, f.eks. e-mailadresse
Vigtige begreber
Page 8
Behandling
”enhver aktivitet eller række af aktiviteter —med eller uden brug af automatisk behandling — som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse”
Noget der ikke er en behandling?
Page9
Vigtige begreber Databehandler eller dataansvarlig?
DataansvarligDen ”der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger”
DatabehandlerDen ”der behandler personoplysninger på den dataansvarliges vegne”
Hvorfor er sondringen relevant?
Databehandleraftale
Page10
Vigtige begreber Eksempel
Ansatte
Kunder
Leverandører
Cloudleverandør
Lønadministrator
Virksomhed
Page 11
Program
1. Indledende bemærkninger
2. Vigtige begreber
3. Overblik over krav og forpligtelser i Persondataforordningen
4. Hvad betyder Persondataforordningen for jer?
5. Konkrete cases
6. Spørgsmål
Page 12
Overblik over krav og forpligtelser i Persondataforordningen
Accountability
Behandlingshjemmel
Personers rettigheder
Generelle forpligtelser
(krav til processer)
Behandlings-sikkerhed
Page 13
Overblik over krav og forpligtelser Behandlingshjemmel på formel
Grundlæggende Principper
Alm. oplysninger
Særlige kategorier (følsomme oplysninger)
Oplysninger om strafbare forhold
Cpr.nr.
Information Behandling er hjemlet
3. landsoverførsel
Page 14
Overblik over krav og forpligtelserGrundprincipper der altid skal være opfyldt
Lovlighed rimelighed og gennemsigtighed
• Skal behandles lovligt, rimeligt og på en gennemsigtig måde
Formålsbegrænsning• Skal indsamles til udtrykkeligt angivne og legitime formål, og• Senere behandling må ikke være uforenelig med indsamlingsformål
Dataminimering• Skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de
formål, hvortil de behandles
Rigtighed• Skal være korrekte og om nødvendigt ajourførte; • Skal tage ethvert rimeligt skridt til sletning eller berigtigelse
Opbevarings-begrænsning
• Opbevares så det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til formålet
Integritet og fortrolighed
• Sikre tilstrækkelig sikkerhed, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger
Ansvarlighed• Skal kunne påvise overholdelse
Page 15
Overblik over krav og forpligtelser Retsgrundlag for behandlingGDPR artikel 6 GDPR artikel 9 GDPR artikel 10 National regulering, jf.
artikel 87
Almindelige personoplysninger
Særlige kategorier af personoplysninger
Straffedomme og lovovertrædelser
CPR-numre
• Stamoplysninger; navn, adresse, fødselsdato, køn mv.
• Ansættelsesdata; ansøgning, CV, stilling, arbejdsområde, sygedage, tjenstlige forhold mv.
• dækninger, depotstørrelser, personlige tilvalg, formue, begunstigede familieforhold,
• IP-adresse, TV overvågning• Ikke udtømmende
• Race eller etnisk oprindelse• Politisk, religiøs eller
filosofisk overbevisning• Fagforeningsmæssigt
tilhørsforhold• Genetiske og biometriske
data (identifikationsformål)• Helbredsoplysninger• Oplysninger om en fysisk
persons seksuelle forhold eller seksuelle orientering
e.g. straffeattest 123456-7890
Behandlingsgrundlag Behandlingsgrundlag Behandlingsgrundlag Behandlingsgrundlag
• Samtykke• Opfyldelse af kontrakt,
som den registrerede er part i
• Overholde retlig forpligtelse• Beskyttelse af en persons
vitale interesser• Interesseafvejningsregl
en• m.fl.
• Forbudt, dog;• Udtrykkeligt samtykke • Arbejds-, sundheds- og
socialretlige forpligtelser• Fastlægge eller forsvare
retskrav• Hvis oplysninger tydeligvis
er offentliggjort af den registrerede
• m.fl.
• National regulering:• Udtrykkeligt samtykke• Kvalificeret
interesseafvejning
• National regulering• Samtykke• Følger af lov• Videregivelse naturligt led
i normal drift og afgørende for entydig identifikation eller kræves af en offentlig myndighed
Page 16
Overblik over krav og forpligtelserUdvidet oplysningsforpligtelse
Som i dag:• Dataansvarliges identitet
• Formålet med behandlingen
• Kategorier af modtagere
• Om det er obligatorisk at give oplysninger
• Konsekvenser ved ikke at give oplysninger
• Retten til indsigt og berigtigelse
• Hvis indsamlet fra andre kilder:
hvilken type oplysninger
Nye oplysningsforpligtelser:• Kontaktinfo for DPO
• Hvilket behandlingsgrundlag
• De legitime interesser der forfølges – hvis
hjemme er interesseafvejning
• Ved 3. landsoverførsel – henvisning til hjemme
• Det tidsrum, hvor data vil blive opbevaret
• Retten til at tilbagekalde samtykke
• Retten til sletning, indsigelse og dataportabilitet
• Retten til at klage til tilsynsmyndighed
• Automatiske afgørelser – herunder logikken
• Hvis indsamlet fra andre kilder: oplysninger om kilderDet er den dataansvarliges ansvar
uopfordret at sikre sig, at oplysningerne bliver givet!
Page 17
Overblik over krav og forpligtelser Behandlingshjemmel på formel
Grundlæggende Principper
Alm. oplysninger
Særlige kategorier (følsomme oplysninger)
Oplysninger om strafbare forhold
Cpr.nr.
Information Behandling er hjemlet
3. landsoverførsel
Overblik over krav og forpligtelser Personers rettigheder
Oplysningspligt og Indsigtsret
Berigtigelse
Sletning (Ret til at blive
glemt)
Begrænsning
Dataportabilitet
Indsigelse
• Ret til uopfordret at modtage oplysninger ved indsamlingen og efterfølgende på opfordring at få indsigt i oplysninger (ret til kopi) (Art 13 -15 )
• Ikke krænke andres rettigheder
• Ret til at få urigtige personoplysninger om sig selv berigtiget eller fuldstændiggjort (Art. 16)• Underrette modtagere oplysninger er videregivet til – dog hvis umuligt eller uforholdsmæssigt (Art 19)
• Ret til at få personoplysninger om sig selv slettet – NB Ikke nogen ubetinget ret (Art 17)• Underrette modtagere oplysninger er videregivet til – dog hvis umuligt eller uforholdsmæssigt (Art 19)
• Ret til at opnå begrænsning af behandling (midlertidigt i forb. med indsigelse eller alternativ til sletning) (Art 18)
• Underrette modtagere oplysninger er videregivet til – dog hvis umuligt eller uforholdsmæssigt (Art 19)
• Ret til i et struktureret, almindeligt anvendt og maskinlæsbart format at modtage personoplysninger om sig selv, som vedkommende har givet til en dataansvarlig, og
• ret til at transmittere disse oplysninger til en anden dataansvarlig (Art 20)
• Ret til af grunde, der vedrører den pågældendes særlige situation at gøre indsigelse mod behandling af sine personoplysninger (Art 21) – kvalificeret interesseafvejning
• Ubetinget ret til indsigelse mod direkte markedsføring og automatiserede afgørelser (profilering)
Hvordan skal der reageres?
• Skriftligt, kortfattet og letforståeligt samt gratis (modifikation: gentagne og overdrevne henvendelser)• Senest inden 1 måned (kan i særlige tilfælde forlænges med 2 måneder) (Art 12)• Undtagelser og begrænsninger? (Art 23) – EU og National ret.
Page 18
Overblik over krav og forpligtelser Generelle forpligtelser
Ansvarlighed
Databeskyttelses-politik
Databeskyttelse gennem design
Databeskyttelse gennem
standardindstillinger
Tage ansvar for databehandlere
Fortegnelse over behandlingsaktiviteter
• Gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med forordningen. Disse foranstaltninger skal løbende revideres og ajourføres
• Hvis det står i rimeligt forhold til behandlingsaktiviteterne - implementering af passende databeskyttelsespolitikker
• Passende tekniske og organisatoriske foranstaltninger skal understøtte overholdelse af forordningen• E.g. gennem pseudonymisering og dataminimering, herunder intern acces management
• Standardindstillinger skal sikre, at kun personoplysninger, der er nødvendige til hvert specifikt formål behandles
• Mængde af data - omfang af behandling – opbevaringsperiode - tilgængelighed
• Udelukkende anvende databehandlere, der garanterer for, at behandling opfylder forordningen. • Risikovurdering af databehandleren og løsningen. Føre kontrol og påse, at databehandler opfylder krav• Krav om skriftligt aftalegrundlag
• Formål samt kategorier af personer, oplysninger og modtagere, slettepolitik og beskrivelse af sikkerhed• Undtagelse, hvis færre end 250 medarbejdere• Medmindre høj-risiko-behandling, regelmæssig behandling eller behandling omfatter særlige kategorier
Samarbejde med tilsynsmyndigheden
• Den dataansvarlige og databehandleren skal efter anmodning samarbejde med tilsynsmyndigheden i forbindelse med udførelsen af dens opgaver
• Men pligt til anmeldelse og tilladelse bortfalder
Page 19
Overblik over krav og forpligtelser Behandlingssikkerhed
Tekniske og organisatoriske sikkerheds-
foranstaltninger
Anmeldelse af sikkerhedsbrister
til tilsynsmyndigheden
og evt. de berørte personer
Konsekvensanalyser(DPIA)
Databeskyttelses-rådgiver (DPO)
• Hense til behandlingens risiko, det aktuelle tekniske niveau og omkostninger• Ingen specifikke krav, om end GDPR nævner:
• Pseudonymisering og kryptering• Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer
• Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger• Procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af sikkerheden
• senest 72 timer efter, at man er blevet bekendt med bruddet• Databehandlere skal underrette den dataansvarlige• beskrive karakteren af bruddet, herunder kategorierne og det omtrentlige antal berørte personer samt
personoplysninger, konsekvenserne og trufne foranstaltninger for at stoppe og begrænse skaden• Skal kunne dokumentere bruddet og de trufne foranstaltninger• Hvis høj risiko for berørte personer - tillige underretning af de berørte
• Hvis en ny type behandling( e.g ny teknologi , eller karakter og omfang) sandsynligvis vil indebære en høj risiko, skal der foretages en konsekvensanalyse
• særlige kategorier i stort omfang – systematisk overvågning – profilering som grundlag for afgørelser.• Analyse: en beskrivelse af a) den planlagte behandling b) en vurdering af, om behandlingen er
nødvendige og står i rimeligt forhold til formålene c) en vurdering af risiciene og d) de foranstaltninger, der påtænkes for at imødegå disse risici.
• Hvis fortsat høj risiko – pligt til høring af tilsynsmyndighed
• Skal rådgive om og overvåge virksomhedens overholdelse af forordning, lovgivningen og virksomhedens egne politikker
• Kerneaktiviteter kræver regelmæssig og systematisk overvågning af registrerede i stort omfang, eller• Kerneaktiviteter består af behandling i stort omfang af særlige kategorier af oplysninger.• Både dataansvarlige og databehandlere• ‘uafhængig’ og ‘beskyttet’
Page 20
Page 21
Overblik over krav og forpligtelser i Persondataforordningen
Accountability
Behandlingshjemmel
Personers rettigheder
Generelle forpligtelser
(krav til processer)
Behandlings-sikkerhed
Page 22
Program
1. Indledende bemærkninger
2. Vigtige begreber
3. Overblik over krav og forpligtelser i Persondataforordningen
4. Hvad betyder Persondataforordningen for jer?
5. Konkrete cases
6. Spørgsmål
Hvad betyder persondataforordningen for jer?
Hvordan påvirkes I af forordningen?
Nye eller ændrede processer, procedurer og funktioner
Ændringer i eller nye roller og ansvar i organisationen
Ændringer i eller nye teknologier, værktøjer, IT applikationer, IT infrastruktur
Ny eller ændringer til information, data, dokumenter, aftaler m.m.
Page 23
Hvad betyder persondataforordningen for jer?Hvad skal I kunne?
• redegøre for hvilke oplysninger man indsamler til hvilke formål
• vide hvordan personoplysninger flyder gennem virksomheden
• vide hvilken kasket man har på i de forskellige situationer
• anvise hjemmel til den pågældende indsamling og behandling
• påvise at man kender sine forpligtelser og er i stand til at overholde dem, inkl. de grundlæggende principper – eks. sletning
• være i stand til at opfylde personers rettigheder
• have indrettet sin tekniske og organisatoriske sikkerhed ud fra en risikovurdering
• have styr på sine databehandlere
• i øvrigt kunne påvise, at man kender og overholder GDPR
• …. Og hvordan kommer man der til?
Page 24Page 24
Hvad betyder persondataforordningen for jer?
Projektorganisation-
Afgrænsning og
forventnings-afstemning
Kortlægning af det
relevante data flow
Undersøgel-seaf det aktuelle
compliance-niveau
Analyse og rapportering
-Handleplan
Implemente-ring
Vedligehold-else og
opfølgning
Eksempel på Compliance Projekt
Fase 1 Fase 2 Fase 3 Fase 4 Fase 5 Fase 6
Page 25
Hvad betyder persondataforordningen for jer?Fase 2 - Kortlægning af det relevante data flow• Projekt organisation – nedsættelse af multidisciplinær projekt- og styregruppe• 3D tilgang; personer - systemer – processer• Organisationsspecifikt spørgeskema som hovedingrediens • Kortlægningen skal besvare alle hv-spørgsmålene, f.eks.:
• hvilke personoplysninger behandles? • hvilke personer behandles der oplysninger om?• hvilke formål?• hvor personoplysninger stammer fra? • hvordan indsamles oplysninger?• hvor og hvordan oplysninger opbevares ?– internt som eksternt• hvem har adgang til oplysninger ?– og hvorfor? • hvem videregives data til? – og hvorfor?• hvordan sikrer vi personoplysninger ? – teknisk og organisatorisk• hvad har vi af dokumentation? Oplysninger, samtykker, procedurer, politikker osv.• hvordan opfylder vi personers rettigheder?• hvad har vi af procedurer?• hvornår bruger vi databehandlere?
• Besvarelserne skal danne grundlag for en GAP-analyse – identifikation af • Mangler/huller i forhold til overholdelse af krav i forordningen• Prioriteret handlingsplan• Udfyldelse af mangler/huller
Page 26
Page 27
Program
1. Indledende bemærkninger
2. Vigtige begreber
3. Overblik over krav og forpligtelser i Persondataforordningen
4. Hvad betyder Persondataforordningen for jer?
5. Konkrete cases
6. Spørgsmål
Page 28
Cases - Eksempler
• Håndværkervirksomhed• Få ansatte• B2B• Simpelt bogføringssystem• Overholder
persondataloven i dag
Virksomhed A Virksomhed B
• Størreproduktionsvirksomhed
• Over 100 ansatte• B2B• Flere integrerede IT
systemer, f.eks. CRM• Ekstern hosting• Overholder ikke
persondataloven i dag
• Udlejningsvirksomhedmed mange boliglejemål
• Behandler følsomme oplysninger og CPR-numrer
• Flere integrerede IT-systemer
• Ekstern hosting oglønadministration
• Anvender eksternt bureau til håndtering af markedsføring pr. mail.
• Overholder ikke persondataloven i dag
Virksomhed C
MINDRE BEHOV FOR COMPLIANCE OMFATTENDE
Case 1 – Lokal dansk virksomhed
Datamapning: • Systemanalyse• interviews• Udarbejdet af BB og intern projektleder alene
GAP analyse• Virksomhed overholdte i høj grad
persondataloven i dag, så alene GDPR tilpasninger
Mitigerende handlinger:• Opdatering af databehandleraftaler, it
sikkerhedspolitik, etc.,
Implementering og vedligeholdelse• strategi for fremtidig overholdelse og it indkøb
Ressourcer• 1 uge til datamapping• Ressourcer: 1 fra hver ledelsesdel (HR,
Markedsføring, it) 5-6 personer (projektleder og systemadministrator) + 2 advokater
• 1 uge GAP analyse: systemanalyse + styrende GAP analyse
• 2 måneder til implementering
Page 29
Case 2 – Landsdækkende forening
Projektorganisation: • Afholdelse af møder• Forventningsafstemning
Datamapping:• Workshops• Procesanalyse• Pilotprojekter
GAP analyse• Forening overholdte i nogen grad
persondataloven i dag• Tilpasninger ifht. persondataloven• Implementering af GDPR
Mitigerende handlinger:• Opdatering af databehandleraftaler,
informationsskrivelser, sletterutiner, fortegnelser over behandlingsaktiviteter, etablering af hjemmelsgrundlag, etc.
Implementering og vedligeholdelse• strategi for fremtidig overholdelse
Ressourcer• 4 uger til datamapping• Ressourcer: styregruppe, projektgruppe,
tovholdergruppe, projektleder + 2 advokater
• 6 uger til GAP analyse + handlingsplan• 2-3 måneder til implementering
Page 30
Page 31
Spørgsmål
Vil du vide mere?
"Persondataforordningen – En håndbog for praktikere"1. udg. 2016
www.extuto.dk
Side 32
Kontaktoplysninger
Bird & Bird advokatpartnerselskab
Katja Djurhuus, Advokat, Telefon: 39 14 16 74 Mobil: 40 45 12 86E-mail: [email protected]
www.twobirds.com
Page 33
BIRD & BIRD ADVOKATPARTNERSELSKABBird & Bird Advokatpartnerselskab er et registreret selskab i Danmark under CVR-nr. 35 14 45 01. Alle vores advokater er medlem af Advokatsamfundet og underlagt de advokatetiske regler fra Advokatrådet. Reglerne er tilgængelige her: www.advokatsamfundet.dk.
BIRD & BIRDBird & Bird LLP, er et registreret partnerskab, registreret i England og Wales under registreringsnummer OC340318, der er autoriseret og underlagt Solicitors Regulation Authority, og dets regler og retningslinier der er tilgængelige her: sra.org.uk/handbook/For yderligere information om Bird & Bird internationalt, herunder Bird & Bird LLP, dets filialer og associerede selskaber (samlet benævnt ”Bird & Bird”), vores kontorer, ansatte, partnere og rådgivningsområder, brug af e-mails og regulatoriske forhold, se vores website på twobirds.com og navnlig ”Legal Notices”.
Thank you
Top Related