Oplæg v Focus Advokater: Ny EU persondataforordning

Overblikoverpersondataforordningen

v/advokatJesperLøfflerNielsen

1

Agenda

2

Målsætning

- Overblikoverpersondataforordningen– Indholdogkonsekvenser

Konkreteemner

1. Hvaderpersondata?

2. Hvorforskærpesreglerne?

3. Præsentationafreglerne– degældendeogdenye

4. Gennemførelseafetcompliance-projekt

5. Relevantelinksogvejledninger

6. HvadkanFOCUShjælpemed?

7. 10goderåd

Hvaderpersondata?

Hvaderpersondata?

Personoplysninger- F.eks.navn,telefonnummer,adresse,e-mailadresserm.v.- Menogså:OplysningeromkontaktpersonerhosB2B-kunderogsamarbejdspartnere

(f.eks.ietCRMsystem),navnepåenkeltmandsvirksomheder,IP-adresser,”anonyme”adfærdsoplysningerosv.

Primærtveddigital behandling- Dogogsåsystematiskbehandlingaf”analoge”oplysninger(f.eks.etregister)

Stortsetallevirksomhederbehandlerpersondata

Hvaderpersondata?

Dererforskelpåpersonoplysninger- Skærpedekravvedbehandlingaf”følsommeoplysninger”

- Race,etniskoprindelse,politisk/religiøs/filosofiskoverbevisning,fagforeningsmæssigetilhørsforhold,helbredsoplysninger,seksualitet,genetiske/biometriskeoplysninger

- F.eks.indflydelsepåhvornåroplysningermåbehandles,sikkerhedskrav,nødvendigeprocedurerosv.

- Andresærligetyperafoplysninger,f.eks.CPR-numreogoplysningeromstrafbareforhold- Kravendnuikkeendeligtfastlagt

- Ctr.fortroligeoplysninger- Persondatareglerneerligeglademederhvervshemmeligheder…

Hvorforskærpesreglerne?

Adresselister

Grundlovenaf1849:”Boligen erukrænkelig.Huusundersøgelse,BeslaglæggelseogUndersøgelseafBreve ogandrePapirermaa,hvoringenLovhjemlerensæregenUndtagelse,aleneskeefterenRetskjendelse.”

Reglerneskalindhenteteknologien

BeskyttelseafpersondataeridagenMENNESKERET!

Gratistjenesterogbekvemmelighed”betales”medøgetbehandlingafpersondata

FlereGBforfærrepenge

Virksomhederogmyndighederindsamlerstadigflerepersondata

Begrænsetøkonomiskincitamentforatbegrænseindsamlingenogopbevaringsperioden

Præsentationafreglerne

-

HvadgælderNU?

Degældenderegler

Persondataloven(2000)§ ImplementeringafEU-Persondatadirektivfra1995

à Hvertlandharforskelligeregler

§ Enstordelafreglerneidenkommendeforordninggælderalleredeidag– MåskedenmestovertrådteloviDanmarkefterfærdselsloven…

Degældenderegler– ikortetræk

Krav Eksempel

Enhverbehandling(dvs.altfraindtastning tilsletning)kræverhjemmel

Iformafetsamtykkeelleretlovgrundlag

Enhverbehandlingskalopfyldenoglegrundlæggendekrav

Atderikkeindsamlesflereoplysningerendnødvendigtogikkeilængeretidendnødvendigt

Denregistreredeharenrække rettigheder Kravpåatbliveoplystomenhverbehandlingogfåindsigtioplysningeromsigselv

Kravtilaftalegrundlagetmellemdendataansvarligeogdatabehandleren

Typiskdenvirksomhed,somindsamleroplysningerogenIT-leverandør

Kravtilsikkerhedsforholdene Gælderbådeorganisatoriskogteknisk

SærligekravvedoverførselafdatatillandeudenforEU

Eksempelvis såfremtmanharoutsourcetsinIT-drifttilIndien,harenafdelingiRusland,anvenderenhosting-leverandørfraUSAosv.

Præsentationafreglerne

-

HvaderNYT?

Skærpedekravframaj2018

Dennyepersondataforordning

Baggrundoghistorik

Persondataloven(2000)§ Førinternettetsudbredelse=forældet

FørsteudkasttilforordningfraKommissionen(2012)§ Overordnedeønskererbl.a.

– EnsartederegleriEU– Kontrollentilbagetilindividet(modvægttilpersondatasomenvare)– Hårderesanktioner

§ Omfattendeforhandlinger

Endeligvedtagelseafforordning(april2016)§ Ikrafttræden:25.maj2018§ Fremtilikrafttræden:Suppl.retningslinjer,nationalesærreglerm.v.

Vigtigeændringer

Ændring Konsekvens

Skærpet bødeniveauogflereressourcertilnationaletilsyn

Bøder optilEUR20.000.000/4%afglobalomsætning

Skærpedekravtil overblikovervirksom-hedensbehandlingafpersonoplysninger

Stillerkravtiløgetansvarlighed

SkærpedekravtildokumentationGælder persondatapolitik,organisatoriskforankring,procedureveddatabrud,risikovurderingervednyetiltagosv.

Skærpedekravtilvirksomhedensorganisatoriskeogtekniskeforanstaltninger

IT-systemerskalindrettetefterprincipperneom”PrivacybyDesign”og”PrivacybyDefault”).

Vigtigeændringer(fortsat)

Ændring Konsekvens

VissevirksomhederharpligttilatudpegeeninternellereksternDataProtectionOfficer(DPO)

Nogle virksomhederharpligt tilatudpegeenpersondataretsekspertmedansvarforvirksomhedensbehandling – andrebørudpegeen

Pligttilatanmeldebrudpådatasikkerheden Anmeldelsenskalsomudgangspunktskeinden72 timer

Databehandlere fåretmereselvstændigtansvar

Det gældermangeIT-leverandører

Ændredereglerneomgrænseoverskridendebehandlinger

Herunderift.reglernesanvendelsesområde,”one-stop-shop”forbehandlingenafklagesagerm.v.

Præsentationafreglerne

-

Hvadbliverkravene

FREMADRETTET?

Defremadrettedekrav

Oversigt§ Ingenbehandlingafpersondataudenhjemmel§ Grundlæggendeprincipperforbehandlingen§ Deregistreredesrettigheder§ Deforpligtedeefterreglerne:Dataansvarligeogdatabehandlere§ Kravtilsikkerhedsforhold

Behandlingafpersonoplysningererulovligt!

…medmindredererlovligtgrundlagtilbehandlingenipersondataforordningens,f.eks.iformafsamtykke,aftale,andrelovregler,interesseafvejningm.v.

Kilde:Forbes.com

Principperforbehandlingafpersonoplysninger

Princip Eksemplerpå praktiskcompliance

1. Lovlighed,rimelighedog gennemsigtighed

Indhentelseafsamtykke, overholdelseafoplysningspligtmv.

2. Formålsbegrænsning Sikreatoplysningerikke”genbruges”tilandreformålenddetlovlige(f.eks.markedsføring)

3.Dataminimering Fra”nicetoknow”til”needtoknow”

4.Rigtighed Udarbejde procedurefor håndteringafindsigelserfraregistrerede

5.Opbevaringsbegrænsning Fastlægge procedure forsletning

6.Integritetogfortrolighed FåstyrpåIT-sikkerheden

7.Ansvarlighed Dokumentereoverholdelsenafde6førsteprincipper

Deregistreredesrettigheder

Egetinitiativ Kræveranmodning

Oplysnings-pligt(rettil

information)

Indsigtsretog

korrektions-ret

Indsigelses-ret

Rettilsletningog

databegræns-ning

Rettildata-portabilitet

Hvemeransvarlig?

Dataansvarlig Databehandler

Hvem? Virksomheden/myndighedensomafgør,hvilkeoplysningerderindsamles- ogtilhvilkeformål

Behandlingsomforetagespå vegneafendataansvarlig,f.eks.hosting-leverandører,cloud-leverandører,marketing-bureauerm.v.

Ansvar? Primært ansvarssubjektNu:AleneafledtansvarMaj2018:Selvstændigtansvar

Forpligtelser?(eksempler)

§ Generellekravtilbehandlingen§ Ansvarforatenhver

behandlingharhjemmelireglerne

§ Overholdelse afdenregistreredes rettigheder

§ PrivacybyDesignogDefault

§ Passendetekniskeogorganisatoriskeforanstaltninger

§ Kravomdatabehandleraftale§ Alenehandleefterinstruksfra

dataansvarlig§ Kravomdatabehandleraftale

Kravomdatabehandleraftale

Skalaltid foreligge§ …nårendatabehandlerbehandlerdatapåvegneafendataansvarlig

Kravtilindhold(ikkeudtømmende)§ Specifikationafhvilkedataderbehandles§ Dokumenteretinstruks§ Medarbejderautorisationer§ Teknisksikkerhed§ Underdatabehandlere§ ”Bistandtil”indberetningveddatabrud,DataPrivacyImpactAssesmentm.v.

Behandlingssikkerhed (artikel32)

”1.Underhensyntagentildetaktuelletekniskeniveau,implementeringsomkostningerneogdenpågældendebehandlingskarakter,omfang,sammenhængogformålsamtrisicieneafvarierendesandsynlighedogalvorforfysiskepersonersrettighederogfrihedsrettighedergennemførerdendataansvarligeogdatabehandlerenpassendetekniskeogorganisatoriskeforanstaltninger foratsikreetsikkerhedsniveau,derpassertildisserisici,herunder…”

Behandlingssikkerhed(fortsat)

Organisatorisksikkerhed

Teknisksikkerhed

Implementeringafrelevantetiltag,fx:

- Pseudonymisering &kryptering

- SikkerMail

- Brugerrettigheder

- Fysiskadgang

- Back-up

- Politikker&processer

Vurderingafsikkerhed:

- Behandlingensomfang

ogkarakter

- Risiko

- Omkostninger

- Tilgængeligteknologi

Udpegningafdatabeskyttelsesrådgiver(DPO)

KravomudpegningafDataProtection Officernår:§ Offentligmyndighed§ Virksomhedhviskernaktiviteterovervågning afregistrerede(f.eks.tracking afonlineadfærd)

§ Virksomhedhviskernaktivitetindebærerbehandlingaffølsommeoplysninger ivæsentligtomfang

Persondatakommeruundgåeligttilatspilleencentralrolle.Udpegelseafeninternpersondataansvarligerderfor

oftestengodide!

Int.virksomhederogdatabehandlereudenforEUGælderogsåsamarbejdspartnere/forhandlerem.v.medadgangtilsystemer

Sikretredjelande,sektorer ogint.

organisationer,jf.art.45

Fornødnegarantier,jf.art.46og47

Dekonkretegrundlag/singulæreoverførsler,

jf.art.49

§ HerunderPrivacyShieldforUSA(krævercertificeringafUS-virksomhed– deflestestørreIT-virksom-hedereromfattet)

§ Retligtbindendeinstrument§ Bindendevirksomhedsregler

(tilsynskalgodkendereglerne)

§ Standardbestemmelser§ Adhoc-aftaler/

administrativeordninger(tilsynskalgodkende)

§ Udtrykkeligtsamtykke§ Opfyldelseafenkontrakt

meddenregistrerede/idenregistreredesinteresse

§ Vigtigesamfundsinteresser§ Retskrav§ Vitaleinteresser§ Informationsregister§ Interesseafvejning

(tilsynskalorient.)Reglerneerkomplekse!

Gennemførelseafet

compliance-projekt

6fasertilatblivecompliant

1• Indledendeoverblikogplanlægning:Hvoromfattendebliveropgavenfornetopdinvirksomhed,oghvilkeinterneogeksterneressourcerkrævesder?

2 •Kortlægningafpersondatabehandling:Hvilkedatabehandlesivirksomhedenoghvordan?

3 •Gap-analyse:Hvoroverholdervirksomhedenikkereglernepånuværendetidspunkt?

4• Fastlægindsatsområder:Eksemplerpåindsatsområdererudarbejdelseafnødvendigdokumentation,uddannelseafmedarbejdere,ændringeriadgangsforholdtilIT-systemerm.v.

5• Implementering:Udarbejdelseafenhandlingsplan- beskrivelseafindsatsområder,angivelseafhvemdereransvarligfor,atopgavenudføressamtentidsplanfor,hvornåropgavenskalværeudført.

6• Løbendekontrol:Reglernekræverløbendedokumentation,udarbejdelseafenkonsekvensanalysevedhøjrisikobehandlinger,anmeldelsespligtveddatabrud,revisionafpolitikkerogretningslinjersamthåndteringafklager.

Fase1:

IndledendeoverblikogplanlægningHvoromfattendebliveropgavenfornetopdinvirksomhed,oghvilkeinterneogeksterneressourcerkrævesder?

HURTIG OMSTILLING TIDSKRÆVENDEOMSTILLING

Harhidtilhaftstorfokuspåhåndteringafpersondataefterdegældenderegler

Håndteringafpersondataeftergældendereglerharhidtilhaftbegrænsetbevågenhed

Lillevirksomhed Storvirksomhed

B2Bmarked B2Cmarked

IngenellerétsimpeltIT-system FlereIT-systemer,somerintegreret

Behandlerkunalm.personoplysninger Behandlerfølsommeoplysninger(race,religion,helbredsoplysningermv)

Operererkunpådetdanskemarked Grænseoverskridendesalg,driftmv.

Aldatabehandlingskerinternt Eksterneaktørerharheltellerdelvistadgangtilvirksomhedensdata(IT-leverandører,marketingvirksomheder,myndighederm.fl.)

Fase2:

Kortlægningafpersondatabehandling- hvilkedatabehandlesivirksomhedenoghvordan?

Overblikogkontrol§ Mankanikkeoverholdereglerne,hvismanikkeharstyrpå/overblikoversin

databehandling§ Kortlægningkangørespåmangeforskelligemåderogniveauer:

System-niveau:F.eks.analyseafdataflowmedudgangspunktiIT-systemer

Proces-niveau:Behandlingafoplysningerfraindsamling tilsletning (ogalt derimellem!)irelationtilf.eks.rekruttering,ansatte,markedsføring,salg,kundeserviceosv.

Fase3:

Analysérpotentiellerisici- hvoroverholdervirksomhedenikkereglernepånuværendetidspunkt?

Startermanfra0ellerermanhalvvejsimålallerede?§ Compliance-opgavenermindre,hvismanharanvendtdenødvendigeressourcerpå

atoverholdedegældenderegler

Eksemplerpåfaldgruber:§ Modtagerdenregistrerededeoplysningerreglernekræver?§ Ersikkerhedsniveauettilstrækkeligt?§ OverholderaftalermedIT-leverandørerkravenetildatabehandleraftaler?§ Brugesoplysningertilandreformål,enddeoprindeligterindsamlet?§ Slettesoplysninger,nårbehandlingikkelængereernødvendigforatvaretagedet

oprindeligeformål?§ Personoplysningerogmarkedsføring– indhentesdersamtykke,ogerdet

tilstrækkeligtogdokumenteret?

Fase4:

Fastlægindsatsområder

Udarbejdelseafhandlingsplan§ Ledelsesmæssigprioritering

§ Fastlægogprioritérdenødvendigeindsatser– irettetidogmedretteprioritet

§ Risikoafvejning– investeringerskalståmålreelrisiko

§ Rollefordelinginterntogeksternt(allesansvar=ingensansvar)

Fase5:

Implementering- hvilkekonkreteskridternødvendigeforatleveoptilreglerne?

Eksempler:

§ Udarbejdelseafnødvendigdokumentation(!)

§ Interneretningslinjerforhåndteringafindsigelser,periodeforopbevaring

afoplysningerm.v.

§ Uddannelseafmedarbejdere

§ IT-sikkerhed,nødvendigeIT-relateredeinvesteringer/ændringerm.v.

Fase6:

Løbendekontrol- overholdelseerikkeeténgang-projektmenenløbendeproces!

Eksempler:§ Løbendedokumentation

§ Udarbejdelseafenkonsekvensanalysevedhøjrisiko-behandlinger

§ Sletningafoplysninger(”rettentilatbliveglemt”)

§ Anmeldelsespligtveddatabrud(72timer)

§ Revisionafpolitikkerogretningslinjer

§ Håndteringafklagerm.v.

Vilduvidemere?

Relevantelinks:§ Databeskyttelsesreform:dbreform.dk§ Datatilsynet:datatilsynet.dk/erhverv/om-erhverv/§ PrivacyKompasset:https://privacykompasset.erhvervsstyrelsen.dk/

Vejledningerm.v.:§ Datatilsynets12spørgsmål§ DanskIndustri,DanskErhvervm.v.§ FocusAdvokaterspjeceompersondatabehandling

Særligtforfolk,somarbejdermedpersondata:§ PersondataretligtNetværkSyddanmark§ Heldagskursus17.og22.maj2017

HvadkanFOCUShjælpemed?

Rådgivningtilpassetdinvirksomhed§ Juridiskbistandtilallefaser§ Rådgivning,facilitering,undervisningmv§ Inddragelseafandenekspertise(!)

Eksemplerpåbistand/pakker§ Indledendeworkshop§ JuridiskGAP-analyse§ Uddannelseafmedarbejdere§ Bistandtiludarbejdelseafdokumentation§ Fuldcompliance-pakkeinkl.udarbejdelseafcompliance-rapport

HvadkanFOCUShjælpemed?

FocusAdvokater

IT-sikkerhed

EksternDPO

ForskereSoftwaretil

dokumentation,opfølgningm.v.

Revision/certificering

Heldagskursus17.og22.maj2017

§ Kursusfordemsomskalarbejdemedpersondataipraksis§ Skræddersyettilhhv.virksomhederogoffentligemyndigheder§ Bl.a.oplægfra:

– InternDPO– EksternDPO– JuristfraDigitaliseringsstyrelsen– Lektormedspecialeipersondatahosoffentligemyndigheder– EksperteriIT- oginformationssikkerhed– Deltageriarbejdetmeddenkommendebetænkning– Etc.

Opsummering- 10goderåd

1. Sætjerindireglerne– deterikkeendøgnflue…

2. Virksomhederbehandlerpersondataflerestederenddetror- Fåoverblikoverhvilke

personoplysningerIbehandler,hvordan,hvorfor,hvorlængeosv.

3. Udpegeninternpersondataansvarlig– ogsåselvomIikkeeromfattetafkravetomenDPO

4. GennemsejeresaftalermedIT-leverandørerogandredatabehandlere– leverdeoptildenyekrav?

5. Persondatahandlerikkekunomjura– menogsåomorganisatoriskeprocesserogIT

6. Implementérrelevanteprocedurer– oghuskatfølgeogvedligeholdedem!

7. Fåstyrpåsikkerheden– eventueltmedeksternbistand

8. Dokumentérjeresbehandlingogprocedurer– SkrivhvadIgør,oggørhvadIskriver!

9. Denyereglerskaltagesalvorligt– meninvesterederessourcerskalståmålmedvirksomhedens

størrelse,karakterafbehandlingogikkemindstrisici

10. Komigangigodtid– allekanikkeventetilsidsteøjeblik

Spørgsmål?

Kontakt

JesperLøfflerNielsenAdvokat,Ph.D.

HvisduvilmodtagenyhederomPERSONDATA,såskrivdigpålisten!

FOCUSADVOKATERP/S- focus-advokater.dkODENSE:Englandsgade25,5100OdenseCKOLDING:Toldbodgade10,4.,6000KoldingKØBENHAVN:Amaliegade40B,1256KøbenhavnK

Forretningsområder:§ IT-ret§ Kontraktret§ Immaterialret§ Retssagsbehandling

Kontakt:Tlf.:63144511Mobil: 21545102E-mail:[email protected]