Webinar om Persondataforordningen 10. april 2018 9:30-10 ...€¦ · Webinar om Persondataforordningen 10. april 2018 9:30-10:15 Advokat Lars Japp Haslund. HELT KORT OM LUNDGRENS
Post on 20-Oct-2019
2 Views
Preview:
Transcript
Webinar om Persondataforordningen10. april 2018 9:30-10:15
Advokat Lars Japp Haslund
HELT KORT OM LUNDGRENS
2
+ 130 ansatte
+ 80 jurister
Full-service på
større kommercielle
juridiske områder
Blev til
Lundgrens i 2016
Hellerup,
København
FAST EJENDOM & ENTREPRISE
KONKURRENCE-RET
M & A
FINANS & KAPITAL-MARKED
CORPORATE & COMMERCIAL
SKAT
PERSONDATA
OFFENTLIG VIRKSOMHED
MEDIA & ENTERTAIN-
MENT
FORSIKRING & ERSTATNING
IP & LIFE SCIENCE
ANSÆTTELSES-RET
IT & TECHNOLOGY
REKONSTRUK-TION &
INSOLVENS
RETSSAGER & VOLDGIFT
Sygedage Udseende
Telefonnummer
Jobinformation
Biometri
Genetik
Skostørrelse
Økonomi
Nationalitet
Navn
Køn
Adresse
CPR-nr.
Civilstand
Uddannelse
Familieforhold
Etnicitet og raceNummerplade
Straffeattest
Fotografi
IP-adresse
Religion
Helbredsoplysninger
Fagforeningsmæssigt
tilhørsforhold
Politisk
overbevisning
VideooptagelseSeksuel orientering
Båndoptagelse
af stemme
Lokation
Medlemskaber
Persondata
PERSONDATA – EKSEMPLER
= særlige kategorier af persondata
(”følsomme oplysninger”)= (almindelig) persondata3
PERSONDATA – KORT OM NOGLE GRUNDBEGREBER
4
EU/EEA
4
PERSONDATAFORORDNINGEN - I KAMPEN OM PERSONDATA
Persondataforordningen får virkning 25. maj 2018.
• Forordningen trådte i kraft i maj 2016. EU gav medlemsstater, virksomheder mv. 2 år til at blive klar.
• Mange krav i forordningen er ikke nye. Fx Indsamling til bestemte formål, ‘sletning’, når formålet ophører og mange af registreredes rettigheder. Gælder efter persondataloven i dag.
• Der er dog også en del ny regler og krav i forordningen.
• Nogle krav fastlægges i en ny dansk persondatalov, der får virkning samtidig med forordningen.
• Virksomheder skal være klar til disse regler den 25. maj 2018. Fra denne data er Datatilsynet forpligtet til at begynde håndhævelsen.
• I denne præsentation fremhæves nogle af de væsentligste nye krav og nogle forslag til, hvad I kan gøre allerede nu.
5
PERSONDATAFORORDNINGEN – OM NOGLE AF DE NYE PÅ HOLDET
1. Stærkere og afskrækkende Datatilsyn skal sikre reglerne
• For at sikre, at reglerne overholdes har tilsynsmyndighederne fået skrappere beføjelser. Mest i øjenfaldende er de store bødestraffe.
• Afhængig af lovovertrædelsen: 10 millioner € / 2 % af global omsætning eller 20 millioner € / 4 % af global omsætning for virksomheder. EU ville have hurtige, afskrækkende administrative bøder.
• Datatilsynet kan ikke udstede endelige administrative bøder, men et bødeforlæg. Accepterer virksomheden ikke dette, skal sagen køre som straffesag ved domstol, der fastlægger bøden.
• Dataansvarlig hæfter for alle sine behandlinger, herunder for brug af databehandlere.
• Der er solidarisk ansvar – så registrerede kan også vælge at gå efter databehandler for dataansvarliges fejl. Derefter må parterne fordele ansvar.
6
PERSONDATAFORORDNINGEN – OM NOGLE AF DE NYE PÅ HOLDET
2. Mere ansvarlighed, mindre bureaukrati
• Ansvarlighed – måske det mest væsentlige nye: Virksomheder skal på ethvert tidspunkt kunne påvise – dokumentere – at forordningen overholdes.
• Fx lovligt formål, samtykke eller andet retsgrundlag, slettefrister, sikkerhed, brug af databehandlere efter aftale osv.
• DPIA: Der skal i visse tilfælde laves ‘konsekvensanalyser’ på nye behandler af persondata for at afdække og imødegå evt. risici
• DPO: myndigheder og visse organisationer skal udpege en data protection officer. Kriterier for dette er spegede.
• Fortegnelse over behandlingsaktiviteter.
• Der er mindre bureaukrati, før behandlinger kan iværksættes. Kun få behandler kræver forudgående anmeldelse eller tilladelse fra et tilsyn.
7
PERSONDATAFORORDNINGEN – OM NOGLE AF DE NYE PÅ HOLDET
3. Brud på persondatasikkerheden
• Ved databrud – både hændeligt og utilsigtet – skal der inden 72 timer ske underretning til tilsynet, med mindre usandsynligt at der er risiko for de registreredes rettigheder og frihedsrettigheder.
• Ved høj risiko de registreredes rettigheder og frihedsrettigheder skal de registrerede underrettes.
• Dvs. kunder, borger mv. skal oplyses om disse hændelser, så de kan tage forholdsregler.
• Vigtigt at have en plan for, hvordan dette håndteres, så fristerkan overholdes, OG der kun sker underretning, når det errelevant og nødvendigt.
8
PERSONDATAFORORDNINGEN – OM NOGLE AF DE NYE PÅ HOLDET
4. Privacy by Design and default
• Den dataansvarlig skal tænke databeskyttelse ind i sine (nye) systemer og arbejdsgange, så det er en del af ‘design’ og ‘standardindstillingerne’ at passe på persondata.
• Gælder ikke eksisterende systemer, men nye eller væsentlige ændringer.
• Husk dog, at systemer, der ikke kan overholde gældende regler –fx elementær sletning – er allerede i problemer.
9
PERSONDATAFORORDNINGEN – OM NOGLE AF DE NYE PÅ HOLDET
5. De registreredes rettigheder
• Mange rettighederne er gældende i dag fx information, indsigt.
• Visse er nye, fx retten til at få data med (dataportabilitet), der gælder i visse situationer.
• Den dataansvarlig må forberede sig på at kunne håndtere rettigheder og vide, hvad der skal oplyses.
• Fx hvilke oplysninger skal der gives, når en medarbejder bliver ansat, når en kunde køber en vare, melder sig til et nyhedsbrev eller bruger virksomhedens hjemmeside
• Oplysningspligten er generelt udvidet, og der skal gives flere informationer om brugen af persondata i disse tilfælde.
• Dataansvarlig må også have taget stilling til, hvordan gives indsigtsret i de oplysninger, der behandles fx til en ansat.
• Eller hvad hvis en kunde kræver ale oplysninger slettet (”retten til at blive glemt”) – der ikke er en ubetinget ret .
10
BETYDNING FOR ERHVERVSLIVET
11
Næppe en overraskelse, da personoplysninger indgår i en række sammenhænge fx:
• HR: Ansatte, ansøgere, tidligere ansatte
• Kunder (branche, B2C, B2B)
• Særlige pligter, fx hvidvask, journalpligt
• Markedsføring, nyhedsbreve, websites, tracking, profilering
• Finans og bogholderi
• IT systemer og IT sikkerhed, herunder logs, monitorering tv-overvågning
BREAKING NEWS: HELE ERHVERVSLIVET ER RAMT
GDPR
BETYDNING FOR ERHVERVSLIVET
1. Set scenen
• Strategi: Hvad vil organisationen med opgaven/projektet? Synliggør risici og gevinster for ledelsen og få ‘commitment’
• Scope – omfanget af opgaven fastlægges:
• Fastlægge nøglepersoner der skal inddrages.
• Ressourcer: hvem skal anvendes i forretningen og skal der ekstern bistand til?
• DPO – de fleste næppe. Overveje forankring af ‘persondata’-ansvar.
• IT tool til understøttelse – er det nødvendigt?
2. Mobilisering
• Nøglepersoner evt. have indledende, kort træning for at kunne besvare meningsfuldt på data mapping skemaer, jf. om lidt.
3. Styring og revidering
• Formentlig være behov for nogle tilpasninger; pas på med scope-screep, det er også en risikodisciplin
Organisér
12
BETYDNING FOR ERHVERVSLIVET
1. ”Data mapping” – skabe overblik og grundlag for analyse
• I hvilke processer bruges persondata? (bl.a. afklare)
• Hvilke persondata har vi - og om hvem
• Formål og hvilket behandlingsgrundlag, fx samtykke – er det opdateret?
• Hvor indsamler vi persondata fra
• Hvor længe har vi det og sletter vi ? Hvornår skal vi slette?
• Informerer vi de registrerede korrekt – og kan vi håndtere rettigheder; fx anmodning om indsigt
• Bruger vi databehandlere, og har vi databehandleraftale med dem? Er de i EU – og hvis ikke, kan vi lovligt overføre persondata?
• Hvem videregiver vi oplysninger til – og på hvilket grundlag?
• Har vi dokumentation for, hvad vi gør og bruger persondata til?
2. IT sikkerhed og - systemer: har vi overblik over risiko og systemer?
• Kan vi understøtte de registreredes rettigheder; evt. tilpasninger
3. ”Gap analyse” på baggrund af oversigter og evt. supplerende informationer
4. Handleplan for det der skal fikses
Analysér
13
BETYDNING FOR ERHVERVSLIVET
1. Udføre handlinger for at komme på plads, typiske opgaver
• Generel politik for behandling af personoplysninger, herunder sletning og ‘årshjul af opgaver’. Evt. specifikke politikker på særlige områder fx HR, salgskundeprocesser, markedsføring
• Lave fortegnelser over behandlingsaktiviteter (meget input vil være direkte i en god mappingøvelsen)
• Beredskabsplan for brud på persondatasikkerheden (/evt. kobles til IT incident respons plan)
• Rettigheder. Hvordan håndterer vi rent praktisk anmodning om indsigt, dataportabilitet osv.
• Skabeloner for databehandlingsaftaler, information om behandlinger til de registrerede, samtykkeskabeloner
• Ved nye arbejdsgange og projekter sikres databeskyttelse iagttages og vurderes (”DPIA og DbD”)
2. IT tilpasninger: hvis IT systemer ikke kan håndtere grundlæggende krav og/eller de registreredes rettigheder.
Implementér
14
BETYDNING FOR ERHVERVSLIVET
1. Drift – walk the talk og find løsninger
• Følge politikker og ‘årshjul’ mv.
• Træning og awareness af medarbejdere
2. Audit og kontroller
• Kontrollere at vi følger politikker og regler i praksis
• Virker ‘governance’ det som tilsigtet, sender giver vores databehandlere relevante erklæringer ind, får vi trænet medarbejdere
3. Orientering til ledelsen
• Status på projekt og drift – risikobilledet. Relevante hændelser.
• (Skal de evt. have særlige forsikringer tegnet, hvis ricisi taler herfor)
4. Handle og tilpasse
• Hvis hændelse eller ændret risikobillede – handle og tilpasse
• Rapportering til ledelse osv.
Drift
15
Tak for jeres opmærksomhed
16
KONTAKTINFORMATION OG CV
• Head of Data Protection Team hos Lundgrens Advokatfirma 1/11 2017
• Certificeringer fra IAPP i persondata (FIP,CIPP/E, CIPM)
• Underviser jurister og andre i IAPP certificeringer på JUC.dk
• Underviser i IT Governance certificeringer
• Senioradvokat i Bech Bruun på GDPR 2016-17
• Advokat og senere Global DPO i ROCKWOOL koncernen 2014-2016.
• Advokat i DONG Energy (nu Ørsted) i 6 år, bl.a. compliance med persondataret
Lars Japp HaslundHead of Data Protection
Advokat, Director
T +45 3525 2535M +45 4229 5395E ljh@lundgrens.dk
17
LUNDGRENS LAW FIRM P/S TUBORG BOULEVARD 12 DK-2900 HELLERUP DENMARK
LUNDGRENS.DK INFO@LUNDGRENS.DK
top related