persondataforordningen€¦ · persondataforordningen i helikopterperspektiv personoplysninger –...
TRANSCRIPT
ISOBRO den 7. september 2017
PERSONDATAFORORDNINGEN
1 novi-attorneys.com
Fokus
• Hvad er der sket i DK siden sidst? • Persondataforordningen – baggrund, anvendelsesområde og undtagelser • Nogle af de væsentligste definitioner
Status og opsummering
• Lovlighed, rimelighed og gennemsigtighed • Formålsbegrænsning • Dataminimering • Rigtighed • Opbevaringsbegrænsning • Integritet og fortrolighed
Ansvarlighed
• Almindelige personoplysninger • CPR-nummer • Oplysninger om strafbare forhold • Særlige kategorier af personoplysninger
Hjemmel til behandling af
personoplysninger novi-attorneys.com 2
Fokus
• Krav om fortegnelse • Forslag til udformning • ”At komme i gang”
Fortegnelse og compliance
proces
• Hvad er det? • Hvem kunne tænkes af få glæde af det?
Adfærdskodeks og certificering
• Standard databehandleraftale • Privatlivspolitik til brug på hjemmesider (udadvendt) • Privatlivspolitik vedr. behandling af medarbejderoplysninger (intern) • Overordnet politik for intern håndtering og behandling af oplysninger (dvs. om medlemmer,
kunder, medarbejdere, frivillige, mv.) • Overordnet slettepolitik • Overordnet struktur og forretningsgange for håndtering af datasubjektets rettigheder
Værktøjskasse
novi-attorneys.com 3
”Nyt” siden sidst
Status og kort opsummering
4 novi-attorneys.com
Status og kort opsummering
• Betænkning om Databeskyttelsesforordningen – og de retlige rammer for dansk lovgivning
• Betænkning nr. 1565 • Sikre forordningens korrekte gennemførelse i dansk ret
• Analysere rammerne for både indførelse og opretholdelse af nationale særregler
• Danne grundlag for udarbejdelse af ny version af persondatalov – centralt fortolkningsbidrag til dette videre arbejde
• Det retlige grundlag for udarbejdelse af praktisk anvendelige vejledninger
• Betænkningens konklusion: Forordningen svarer i vidt omfang til den gældende retstilstand efter persondataloven og persondatadirektivet med tilhørende praksis fra fx EU-Domstolen og Datatilsynet
• Justitsministerierne har i samarbejde med de enkelte ressortministerier vurderet eksisterende særlove og forenelighed med Forordningen – konklusionen er, at størstedelen af de identificerede bestemmelser om behandling af personoplysninger kan opretholdes
• UDKAST til forslag til lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger af 7. juli 2017 tilgængelig på høringsportalen (høringsfrist var d. 22. august)
”Nyt” siden sidst
5 novi-attorneys.com
Status og kort opsummering ”Nyt” siden sidst
6 novi-attorneys.com
Baggrund, anvendelsesområde og undtagelser
Status og kort opsummering
7 novi-attorneys.com
Status og kort opsummering
• EUROPA-PARLAMENTETS OG RÅDETS FORORDNING 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF
• ”Forordning”
• Træder i kraft i EU’s medlemsstater d. 25. maj 2018
• Da det er en forordning, så direkte virkning i medlemsstaterne – dvs ingen national implementeringslov
• Forventet øget harmonisering på tværs af EU – ”ens” sanktionering
• MEN der åbnes op for nationale særregler på en lang række områder
Baggrund, anvendelsesområde og undtagelser
8 novi-attorneys.com
Status og kort opsummering
Forordningens anvendelsesområde, jf. Art 2:
• Personoplysninger
• Automatisk databehandling (hel eller delvis)
• Ikke-automatisk databehandling i registre (struktureret samling af personoplysninger, der er tilgængelig efter bestemte kriterier)
Baggrund, anvendelsesområde og undtagelser
9 novi-attorneys.com
Svarer næsten til det vi kender
Status og kort opsummering
Undtagelser – Art 2, stk. 2
• Aktiviteter, som falder uden for EU-retten
• Aktiviteter inden for EU’s fælles udenrigs- og sikkerhedspolitik
• Aktiviteter af personlig eller familiemæssig karakter
• Anklagemyndighed, politi og domstole
Undtagelser eller særlige regler vedr. specifikke behandlingssituationer – Kapitel IX
• Ytrings- og informationsfriheden, jf. Art 85
• Aktindsigt, jf. Art 86
• CPR-nr., jf. Art 87
• Ansættelsesforhold, jf. Art 88
• Arkivformål, videnskabelig, historiske eller statistiske formål, Art 89
Baggrund, anvendelsesområde og undtagelser
10 novi-attorneys.com
Definitioner
Status og kort opsummering
11 novi-attorneys.com
Persondataforordningen i helikopterperspektiv
Personoplysninger – Art 4 (1)
• Definition: ”Enhver form for information om en identificeret eller identificerbar fysisk person”
• Identificerbar: ”fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en online-identifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet”
• FX:
• oplysninger om fysiske personer – hårfarve, bopæl, alder, arbejdsplads, genetiske oplysninger, billede, uddannelse, mv.,
• oplysninger om kontaktpersoner hos samarbejdspartnere – fx e-mailadresse el. stilling • oplysninger om bipersoner, fostre, optagelser fra overvågningskameraer, m.fl.
• oplysning om en persons tidligere, nuværende og fremtidige fysiske eller psykiske tilstand samt medicinbrug og misbrug af narkotika, alkohol og lignende nydelsesmidler.
Definitioner
12 novi-attorneys.com
Persondataforordningen i helikopterperspektiv
Behandling – Art 4 (2)
• Definition: ”Enhver aktivitet eller række af aktiviteter med eller uden brug af automatisk behandling, som
personoplysninger eller en samling af personoplysninger gøres til genstand for” • FX bl.a.:
Indsamling Registrering Brug/udnyttelse Organisering Opbevaring Tilpasning Samkøring Videregivelse Tekstbehandling Søgning Genfinding Formidling Overladelse Begrænsning Systematisering Ændring Tilintetgørelse Sletning
Definitioner
13 novi-attorneys.com
Persondataforordningen i helikopterperspektiv
Dataansvarlig – Art 4 (7)
• Definition: ”…der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler, der må foretages behandling af oplysningerne.”
- beslutningskompetencen i forhold til formål og hjælpemidler
- udg.pkt. selve virksomheden, ikke enkeltpersoner
- analyse baseret på faktiske forhold – ikke formelle titler i parternes aftaler
- ansvarlig for overholdelse af størstedelen af GDPR
- kontrol baseret på retlig forpligtelse
- kontrol baseret på implicit kompetence, fx arbejdsgiver
- kontrol baseret på faktisk indflydelse, fx opstået kvalificering som dataansvarlig
Definitioner
14 novi-attorneys.com
Persondataforordningen i helikopterperspektiv
Databehandler – Art 4 (8)
• Definition: ”…der behandler oplysninger på den dataansvarlige vegne.”
• Databehandleren er den, som behandlingen af oplysningerne overlades til (direkte eller via remote access)
• Databehandleren kan ikke disponere over oplysninger til egne formål eller uden den dataansvarliges accept
• Det er fortsat den dataansvarlige, som er direkte ansvarlig overfor den registrerede, men databehandleren kan ifalde erstatningsansvar overfor de registrerede – kommer vi tilbage til
• Brug af databehandlere forudsætter indgåelse af skriftlig databehandleraftale mellem den dataansvarlige og databehandleren
Definitioner og generelle principper
15 novi-attorneys.com
Persondataforordningen i helikopterperspektiv
Samtykke ”…enhver frivillig, specifik, informeret og utvetyding viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling.”
• Skal være:
• frivilligt – uden tvang og baseret på reelt og frit valg, jf. betragtning 42. Videre kan ”klar” skævhed mellem den registrerede og den dataansvarlige bevirke, at samtykke ikke er frivilligt, navnlig hvor den dataansvarlige er en offentlig myndighed, ligesom samtykke ikke er frivilligt, hvis afgivelse er en betingelse for opfyldelse af en kontrakt eller ydelse af en tjeneste, jf. betragtning 43 og Art 7, stk. 4.
• specifikt – hvilke oplysninger og til hvad
• informeret – hvem behandler og hvordan
• utvetydigt (nogen gange udtrykkeligt) – der skal ikke være tvivl om afgivelse eller omfanget af et samtykke
• Ikke stiltiende eller indirekte - mulighed for udøvelse af kontrol gennem samtykke
• Ikke krav om skriftlighed, med den dataansvarlige har bevisbyrden, jf. Art 7, stk. 1, så praktisk – ved følsomme oplysninger nok også nødvendigt
• Den registrerede kan til enhver tid trække sit samtykke tilbage, jf. Art 7, stk. 3, OG man skal oplyse om denne mulighed i forbindelse med indhentelse af samtykke
• Overvej om oplysningerne skal slettes efter tilbagekaldelse af samtykke, jf. Art 17, stk. 1, litra (b)
Definitioner
16 novi-attorneys.com
Ansvarlighedsprincippet
Persondataforordningen i helikopterperspektiv
17 novi-attorneys.com
Ansvarlighed
Lovlighed, rimelighed og gennemsigtighed
Formålsbegrænsning
Dataminimering
Rigtighed
Opbevaringsbegrænsning
Integritet og fortrolighed
Generelle principper
18 novi-attorneys.com
ART
5 A
N S
V A
R L
I G
H E
D
ART
5 A
N S
V A
R L
I G
H E
D
Lovlighed, rimelighed og gennemsigtighed
Art 5, stk. 1, litra a
• Personoplysningerne skal behandles lovligt, rimeligt og gennemsigtigt i forhold til den registrerede
• Standard om god databehandlingsskik
• Rimelig behandling forudsætter kendskab til behandlingens eksistens samt nøjagtig og fyldestgørende information
• Skal altid overholdes – så man kan ikke fx omgå princippet ved et samtykke (fx anvendelse af kreditoplysninger ved stillingsbesættelse)
Ansvarlighed
novi-attorneys.com 19
Generelle principper
Formålsbegræns-ning
Art 5, stk. 1, litra b
• Indsamling skal ske til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål
• Formålsbestemthed
• Pligt til at fastlæggelse af formålet/ene
• Formålet skal være tilstrækkeligt veldefineret og velafgrænset til at skabe åbenhed og klarhed om behandlingen
• Saglighedskrav
• Vis fleksibilitet for dataansvarlig til viderebehandling – hvad er forholdet mellem det oprindelig formål og formålet med viderebehandling? Ligger det indenfor, hvad den/de registrerede må forvente? Sammenhæng med Art 6, stk. 4
Ansvarlighed
novi-attorneys.com 20
Generelle principper
Dataminimering
Art 5, stk. 1, litra c
• Personoplysningerne skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til formålet/formålene
• Oplysningernes art skal svare til det formål, der tilsigtes med behandlingen
• Proportionalitetsvurdering – personoplysningerne skal om udgangspunkt kun behandles, hvis formålet med behandlingen ikke med rimelighed kan opfyldes på anden måde
• ”Need to” ikke ”nice to”
Ansvarlighed
novi-attorneys.com 21
Generelle principper
Rigtighed
Art 5, stk. 1, litra d
• Personoplysningerne skal være korrekte og om nødvendigt ajourførte
• Ethvert rimeligt skridt til sikring af at personoplysninger, der er urigtige i forhold til formålet, straks slettes eller berigtiges – hvor hurtigt der rent faktisk skal foretages berigtigelse afhænger af karakteren af de behandlede oplysninger
• Datakvalitet er afgørende
• Dataansvarlige skal ligeledes sikre, at der ikke (kan) registreres urigtige eller vildledende oplysninger
Ansvarlighed
novi-attorneys.com 22
Generelle principper
Opbevarings-begrænsning
Art 5, stk. 1, litra e
• Opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede længere end nødvendigt af hensyn til formålet (sletning)
• Konkret vurdering – overvej anden lovhjemmel/retlig forpligtelse, nødvendighed, osv.
• Forudsætter generelle kriterier for, hvor længe den dataansvarlige må opbevare identificerbare oplysninger
• Hvis generelle (saglige) slettefrister, så i dag ikke krav om konkret vurdering af opbevaring af personoplysninger i sager
• Sletning = at oplysningerne uigenkaldeligt fjernes fra alle lagringsmedier
Ansvarlighed
novi-attorneys.com 23
Generelle principper
Integritet og fortrolighed
Art 5, stk. 1, litra f
• Tilstrækkelige tekniske og organisatoriske foranstaltninger
• Fastlægger overordnet princip om behandlingssikkerhed
• Udfyldes af Art 32 som præciserer kravene til behandlingssikkerhed
• Alle behandlinger forudsætter en risikoanalyse
• Der skal indføres passende tekniske og organisatoriske foranstaltninger under hensyntagen til:
• Det aktuelle tekniske niveau og gennemførelsesforanstaltningerne
• Behandlingens karakter, omfang, kontekst og formål og risikoen for den registreredes rettigheder og frihedsrettigheder ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er videregivet, opbevaret eller på anden måde behandlet
Ansvarlighed
novi-attorneys.com 24
Generelle principper
Ansvarlighed
Princippet om ansvarlighed – Art 5
Art 24 indeholder den generelle bestemmelse
om den dataansvarliges ansvar:
• den dataansvarlige skal gennemføre tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandlingen er i overensstemmelse med forordningen – revisions- og ajourføringspligt
• kan blandt andet omfatte implementering af databeskyttelsespolitikker
Generelle principper
25 novi-attorneys.com
Den dataansvarlige er ansvarlig for og skal kunne påvise at alle principperne
for behandling af personoplysninger indeholdt i
Art 5 overholdes, jf. Art 5, stk. 2
Almindelige oplysninger, CPR-nummer, strafbare forhold og særlige kategorier af oplysninger
Hjemmel til behandling af personoplysninger
26 novi-attorneys.com
Særlige kategorier af personoplysninger – Art 9
• Race eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning
• Fagforeningsmæssigt tilhørsforhold
• Genetiske eller biometriske data hvis behandling med henblik på identifikation
• Helbredsoplysninger
• Seksuelle forhold / seksuel orientering
Almindelige personoplysninger – Art 6
• Alle andre oplysninger end de særlige
særlige kategorier af oplysninger – dog ikke CPR-nr. eller oplysninger om strafbare
forhold
Hjemmel til behandling af personoplysninger Almindelige oplysninger, CPR-nummer, strafbare forhold og særlige kategorier af oplysninger
novi-attorneys.com 27
Hjemmel til behandling af personoplysninger
Almindelige oplysninger, CPR-nummer, strafbare forhold og særlige kategorier af oplysninger
28 novi-attorneys.com
Særlige kategorier
Strafbare forhold
CPR-nummer
Almindelige personoplysninger
Økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold, bolig, bil, eksamen, ansøgning, CV, ansættelsesdato, stilling,
arbejdsområde, arbejdstelefon, stamoplysninger: navn, adresse, fødselsdato
Race eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, genetiske eller biometriske data hvis behandling med henblik på identifikation, helbredsoplysninger, seksuelle forhold / seksuel orientering
Art 9
Art 10 + DB-lov § 8, stk. 3 og 4
§ 11 i DB-lov
Art 6
Hjemmel til behandling af personoplysninger
Behandling af ikke-følsomme oplysninger - Art 6, stk. 1 – behandling er lovlig, såfremt ét af nedenstående forhold gør sig gældende:
a) Samtykke til behandling til et eller flere formål
Betingelser for samtykke, jf. Art 7:
• frivilligt – specifikt – informeret - utvetydigt
• Dataansvarlig skal kunne påvise, at der er givet samtykke, dvs. dokumentationsforpligtelse
• Ved skriftligt samtykke, så skal selve samtykket klart kunne skelnes fra ”de andre forhold” (f.eks. ikke indeholdt i almindelige betingelser for brug af netbank, kundeaftaler, kundeklubber, osv.)
• Samtykke til forskellige / hver enkelt behandlingsaktivitet
• Kan altid trækkes tilbage
• I forhold til vurdering af frivillighed, så lægges der vægt på, om opfyldelse af en kontrakt, herunder om en tjenesteydelse, er gjort betinget af samtykke til behandling af personoplysninger, som ikke er nødvendig for opfyldelse af kontrakten.
Almindelige oplysninger, CPR-nummer, strafbare forhold og særlige kategorier af oplysninger
29 novi-attorneys.com
Hjemmel til behandling af personoplysninger
Art 6, stk. 1 (fortsat) – behandling er lovlig, såfremt ét af nedenstående forhold gør sig gældende:
Behandling er nødvendig af hensyn til:
b) Opfyldelse af aftale eller gennemførelse af foranstaltninger på den registreredes anmodning forud for indgåelse af aftale (fx behandling af oplysninger om medlemmer og bidragsydere)
c) Retlig forpligtelse (fx indberetning til Skat)
d) Vitale interesser (medicinsk nødssituation)
f) ”Legitim interesse” hos dataansvarlig eller 3. mand, mm. den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, går forud herfor, navnlig hvis den registrerede er et barn
Almindelige oplysninger, CPR-nummer, strafbare forhold og særlige kategorier af oplysninger
30 novi-attorneys.com
Hjemmel til behandling af personoplysninger
Art 6, stk. 1, litra (f) – interesseafvejningsreglen
”Legitime interesser”, jf. betragtningerne 47-49:
Forudsætter ”nøje vurdering af, om en registreret på tidspunktet for og i forbindelse med indsamling af personoplysningerne med rimelighed kan forvente, at behandling med dette formål kan finde sted.”
Eksempler:
• Kunde hos dataansvarlig (”client”)
• Gør tjeneste under (”in the service of the controller”)
• Behandling til direkte markedsføring
• Videregivelse inden for koncerner til interne administrative formål af kunders og medarbejderes personoplysninger
• Behandling i forbindelse med sikkerhedstiltag
Almindelige oplysninger, CPR-nummer, strafbare forhold og særlige kategorier af oplysninger
31 novi-attorneys.com
CPR-nr. - § 11 i udkast til forslag til databeskyttelseslov:
• samtykke
• retlig forpligtelse
• nødvendig til entydig identifikation hos modtager
• hjemmel i Art 9
Oplysninger om straffedomme og lovovertrædelser – Art 10 og § 8, stk. 3 og 4 i udkast til forslag til databeskyttelseslov:
• kun under kontrol af offentlig myndighed eller med hjemmel i lov eller EU-ret
• samtykke
• berettiget interesse, som klart overstiger hensynet til den registrerede
• hjemmel i medfør af Art 9, stk. 2, litra a (samtykke), c (vitale interesser), d (politiske, filosofiske, religiøse eller fagforeningsmæssige sammenslutninger (non-profit)), e (tydeligvis offentliggjort) eller f (retskrav)
Hjemmel til behandling af personoplysninger Almindelige oplysninger, CPR-nummer, strafbare forhold og særlige kategorier af oplysninger
novi-attorneys.com 32
Hjemmel til behandling af personoplysninger
Behandling af særlige kategorier af personoplysninger – Art 9
Hovedregel: FORBUD, jf. Art 9, stk. 1
Undtagelse: ikke forbudt, hvis et af nedenstående forhold gør sig gældende, jf. Art 9, stk. 2:
a) Udtrykkeligt samtykke til et eller flere specifikke formål
b) Nødvendig behandling på det arbejds-, sundheds- eller socialretlige område og, der er hjemmel i lov eller kollektiv overenskomst
c) Vitale interesser
d) Behandling foretages af organ med politisk, filosofisk, religiøst eller fagforeningsmæssigt sigte vedr. organets medlemmer, tidligere medlemmer el. personer, som man er i regelmæssig kontakt med. Videregivelse kræver samtykke. Kun non-profit
e) Oplysningerne er tydeligvis offentliggjort af den registrerede selv
f) Behandling er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares, eller når en domstol handler i egenskab af domstol
j) Nødvendig i samfundets interesse til arkivformål, videnskabelig eller historiske forskningsformål eller statiske formål
Almindelige oplysninger, CPR-nummer, strafbare forhold og særlige kategorier af oplysninger
33 novi-attorneys.com
Fortegnelse over behandlingsaktiviteter
Fortegnelse og complianceproces
34 novi-attorneys.com
Fortegnelse og complianceproces
Fortegnelse over behandlingsaktiviteter
35
For dataansvarlige, jf. Art 30, stk. 1 • Fortegnelse over behandlingsaktiviteter
• Den dataansvarliges/den dataansvarliges eventuelle repræsentanters/DPO’ens navn og kontaktoplysninger
• Behandlingens formål
• Kategorier af registrerede og persondata
• Kategorier af modtagere af persondata
• Tredjelandsoverførsler og grundlaget herfor (herunder dokumentation for fornødne garantier i relation til overførsler efter art. 49, stk. 1, 2. afsnit)
• Sletteregler
• Tekniske og organisatoriske sikkerhedsforanstaltninger
For databehandlere, jf. Art 30, stk. 2 • Fortegnelse over alle kategorier af behandlingsaktiviteter
• Databehandlerens/databehandlerens eventuelle repræsentanters
navn og kontaktoplysninger
• Kategorier af databehandling
• Tredjelandsoverførsler og grundlaget herfor (herunder dokumentation for fornødne garantier i relation til overførsler efter art. 49, stk. 1, 2. afsnit)
• Tekniske og organisatoriske sikkerhedsforanstaltninger
novi-attorneys.com
Fortegnelserne skal være skriftlige + elektroniske kan kræves udleveret af tilsynsmyndigheden
Gælder ikke hvis mindre end 250 ansatte MM behandlingen sandsynligvis vil medføre en risiko for registreredes rettigheder og frihedsrettigheder, behandlingen ikke er lejlighedsvis, ELLER behandlingen omfatter særlige kategorier af oplysninger eller oplysninger om strafbare forhold
Fortegnelse og complianceproces Fortegnelse over behandlingsaktiviteter
novi-attorneys.com 36
Fortegnelse og complianceproces Fortegnelse over behandlingsaktiviteter
novi-attorneys.com 37
Fortegnelse og complianceproces Fortegnelse over behandlingsaktiviteter
novi-attorneys.com 38
Fortegnelse og complianceproces
Justitsministeriet siger:
• Undtagelsesmulighederne i Art 30, stk. 5 er begrænsede
• Fortegnelseskravet er ikke tiltænkt som en belastning
• Fortegnelseskravet medfører ikke i sig selv et krav om udarbejdelse f større analyser af datastrømme m.v.
Fortegnelse over behandlingsaktiviteter
39 novi-attorneys.com
1 • Etablering af projektorganisation
2
• Projektplanlægning og scope – forordningen gælder som udg. pkt. for alle behandlingsaktiviteter - ”the full monty”
3
• Persondata due diligence / kortlægning via interviews
4 • Gap analyse – juridisk og teknisk
5 • Forberedelse af de anbefalede/vedtagne nye tiltag
6 • Implementering og launch
7 • Vedligeholdelse af compliance set-up
Fortegnelse og complianceproces Compliance i praksis
novi-attorneys.com 40
Ledelsesforankring Udpege styregruppe Allokering af nødvendige ressourcer internt, hænder, økonomisk og systemmæssigt
Hvilke(n): Dataansvarlige/databehandlere, kategorier af persondata, formål, videregivelse af data, iagttagelse af regler vedr. registreredes rettigheder, transparens, sikkerhedsmæssige aspekter - it-mæssige såvel som organisatoriske, særlige risici, gennemgang af databehandleraftaler, m.v.
Identificer gaps i eksisterende complianceniveay baseret på gennemgang af indsamlet materiale. Tilrettelæggelse af dokumentation og strategier mv. for fremtidig compliance,. Vurder/foretag risikoanalyser, overveje nødvendigheden af konsekvensanalyser. Anbefalinger for fremadrettede tiltag
Forretningsgange, politikker, ansættelseskontrakter, DPO, dokumentation, konsekvensanalyser, sikker-hedsberedskab, mv. Forhandlinger med kunder- og leverandører, nye databehandleraftaler, samtykker, m.v.
Udrulning i organisationen – træningsprogram og implementer de nye forretningsgange og procedurer
Procedure til dokumentation af løbende overholdelse (revision), uddannelse, beredskab til kontrolbesøg, m.v.
Tidsplan og projektforløb
Adfærdskodekser
41 novi-attorneys.com
Persondataforordningen art. 40
Hvad er et adfærdskodeks?
• Kodeks, udarbejdet af sammenslutninger eller andre organer, der repræsenterer kategorier af dataansvarlige eller databehandlere som specificerer, hvordan persondataforordningen skal anvendes, jf. art. 40.
• Dvs. f.eks. en brancheforening kan udarbejde et adfærdskodeks for, hvordan dens medlemmer konkret skal overholde kravene i persondataforordningen.
• Det SKAL tilføre reglerne i forordningen noget ”reelt”
• Formålet er at sikre en effektiv anvendelse af forordningen – særligt indenfor bestemte brancher eller i bestemte virksomheder, hvor efterlevelsen ellers kan være forbundet med praktisk besvær og omkostninger.
• Af samme årsag indeholder forordningen en (ikke-udtømmende) liste over, hvad et adfærdskodeks kan specificere. Se art. 40, stk. 2, litra a-k.
Adfærdskodekser i dag
• Adfærdskodekser kendes allerede fra persondatadirektivet og persondataloven, men har næsten ingen praktisk betydning haft indtil videre – i Danmark har meget få organisationer henvendt sig til den relevante myndighed (Datatilsynet) og ingen af disse har hidtil fået godkendt deres adfærdskodeks. På EU-niveau er kun ét adfærdskodeks blevet godkendt.
• Baggrunden for manglende succes er nok kravet om, at kodekset reelt skal tilføre noget, som i øvrigt skal kunne ”kontrolleres” + opnåelse af enighed kan være svært
novi-attorneys.com 42
Persondataforordningen art. 40
novi-attorneys.com 43
Hvordan udarbejdes et adfærdskodeks?
• Ifølge Justitsministeriet er det næppe tilstrækkeligt at have en generel viden om forordningen eller IT-sikkerhed.
• Derimod er det ved kombinationen af indsigt i forordningen sammen med den såkaldte situationsnære viden, at et effektivt adfærdskodeks udarbejdes. Den situationsnære viden er kendskabet til de praktiske omstændigheder for kodeksets genstand.
• Hvis den situationsnære viden ikke inddrages, risikerer man, at adfærdskodekset nok er i overensstemmelse med forordningen men ikke i praksis bliver efterlevet af dem, der i deres daglige arbejde skal overholde kodekset.
• Omvendt kræves også indsigt i forordningen for at sikre, at kodekset overholder denne.
• Relevante interessenter – herunder for så vidt muligt de registrerede – bør høres som led i udarbejdelsen, og der bør tages hensyn til disses bemærkninger og synspunkter. Ved at høre f.eks. en relevant interesseorganisation sikres kodeksets kvalitet.
Persondataforordningen art. 40
novi-attorneys.com 44
Hvad skal et adfærdskodeks indeholde?
• Specifikationer af, hvordan et eller flere af forordningens bestemmelser konkret skal efterleves fx i forhold fælles regelsæt for:
• indsigtsret
• meddelelse om brud på datasikkerhed
• Mekanismer, der muliggør en kontrol med adfærdskodeksets overholdelse i overensstemmelse med reglerne om adfærdskodeksers kontrolorganer i art. 41
Persondataforordningen art. 40
Hvorfor bruge adfærdskodekser?
• Overholdelse af et godkendt adfærdskodeks kan anvendes til at påvise overholdelse af den dataansvarliges forpligtelser efter persondataforordningen, jf. art. 24, stk. 3.
• Reglerne i et godkendt adfærdskodeks kan hjælpe de omfattede virksomheder/organer med at implementere forordningens krav i praksis.
• Hvis reglerne i et godkendt adfærdskodeks har været fulgt, kan dette medvirke til at reducere en bødes størrelse, jf. art. 83, stk. 2, litra j.
Hvem udarbejder adfærdskodekser?
• Adfærdskodekser udarbejdes ikke af myndighederne, men derimod af sammenslutningerne (brancheorganisationerne) selv.
• Tilsynsmyndigheden (Datatilsynet) skal derimod afgive udtalelse om et givent udkast til adfærdskodeks overholder forordningen, hvis myndigheden modtager et sådant, ligesom myndigheden skal godkende udkastet, hvis det sikrer tilstrækkelige garantier for overholdelse af forordningen, jf. art. 40, stk. 5.
novi-attorneys.com 45
Persondataforordningen art. 41
novi-attorneys.com 46
Hvem kontrollerer overholdelsen af et adfærdskodeks?
• Persondataforordningen sondrer mellem, at tilsynsmyndigheden fører tilsyn med overholdelse af forordningen, mens kontrollen med overholdelsen af et adfærdskodeks påhviler et kontrolorgan.
• Tilsynsmyndigheden kan også føre tilsyn, hvor adfærdskodekset og forordningen ”overlapper”, da myndigheden skal sørge for forordningens overholdelse. Konkrete regler der ikke fremgår af forordningen kontrolleres derimod kun af kontrolorganet.
• Et kontrolorgan kan være et hvilket som helst organ, som overholder forordningens krav til kontrolorganer. Dvs. et organ, der
1) har et passende ekspertniveau for så vidt angår kodeksets genstand, og
2) er akkrediteret til dette formål af tilsynsmyndigheden.
• Et organ opfylder disse to krav (dvs. kan blive akkrediteret), når det
1) har påvist sin uafhængighed og ekspertise angående kodeksets genstand
2) har fastlagt procedurer, der gør det muligt for organet at vurdere ansøgeres egnethed til at deltage i kodekset, kontrollere overholdelsen af kodekset og regelmæssigt vurdere kodeksets virkemåde
3) har fastlagt procedurer for behandling af klager over overtrædelser af kodekset eller gennemførelsen af dette
4) har påvist overfor tilsynsmyndigheden, at organets opgaver og pligter ikke fører til en interessekonflikt.
• Opfyldelsen af kravene skal dokumenteres overfor tilsynsmyndigheden.
Certificering
47 novi-attorneys.com
Persondataforordningen art. 42
novi-attorneys.com 48
Hvad er certificering i persondataforordningens forstand?
• Efter persondataforordningens art. 42 skal der kunne opnås certificering (mærkning) for, at dataansvarliges og databehandleres behandlingsaktiviteter overholder persondataforordningens krav
• Dvs. at det som udgangspunkt kun er selve behandlingen, der kan certificeres – ikke f.eks. teknisk udstyr eller personer
Hvad er formålet med certificering?
• Et velkendt certifikat for overholdelse er persondataforordningen vil kunne være en hjælp til de registrerede (f.eks. forbrugere) ift. at vurdere databeskyttelsesniveauet hos eksempelvis en tjenesteyder – og vil dermed også kunne blive et konkurrenceparameter for virksomheder og organisationer.
• En forudgående certificering kan derudover potentielt reducere en senere administrativ bøde, jf. art. 83, stk. 2, litra j.
Hvem udsteder certificeringer?
• Certificeringer kan udstedes af et akkrediteret certificeringsorgan som angivet i art. 43 eller af tilsynsmyndigheden – i begge tilfælde på grundlag af kriterier, der er godkendt af tilsynsmyndigheden.
Persondataforordningen art. 42
novi-attorneys.com 49
Hvordan opnås certificering?
• De nøjagtige kriterier for certificering kendes ikke på nuværende tidspunkt.
• Vil formentlig blive fastlagt af Kommissionen gennem delegerede retsakter (jf. art. 43, stk. 8) – men dette udelukker ikke, at de nationale tilsynsmyndigheder såsom Datatilsynet kan fastsætte nationale kriterier. Dette udestår dog også pt.
• Det fremgår dog allerede af art. 42, stk. 6, at en ansøger (dataansvarlig eller databehandler) skal give certificeringsorganet eller tilsynsmyndigheden alle oplysninger og adgang til de behandlingsaktiviteter, der er nødvendige for at gennemføre certificeringsproceduren.
• Tidsbegrænsning og tilbagekald: En certificering kan højest udstedes for en periode på tre år. Den kan forlænges på de samme betingelser, så længe de relevante krav stadig er opfyldt. Hvis kravene på et tidspunkt ikke er opfyldt, kan certificeringen trækkes tilbage af tilsynsmyndigheden også inden gyldighedsperiodens udløb.
Certificering som beskyttelse mod kontrol?
• Certificering kan ikke indskrænke tilsynsmyndighedens opgaver og beføjelser. Den dataansvarlige og databehandleren skal derfor stadig overholde forordningen og kan blive ført tilsyn med, efter certificering er opnået.
Persondataforordningen art. 43
novi-attorneys.com 50
Kort om certificeringsorganer
• Certificeringsorganer minder om kontrolorganer ift. adfærdskodekset i art. 41-42, idet de akkrediteres som så af tilsynsmyndigheden, når de har:
1) Påvist deres uafhængighed og ekspertise mht. certificeringens genstand,
2) Påtaget sig at påse ansøgerne opfyldelse af de (endnu ikke fastsatte) kriterier for certificering,
3) Fastlagt procedurer for udstedelse, regelmæssig revision og tilbagetrækning af certificeringer,
4) Fastlagt procedurer for behandling af klager over overtrædelser af certificering eller den måde, hvorpå certificering er sket, samt hvordan disse procedurer gøres gennemsigtige for registrerede og offentligheden, og
5) Demonstreret at deres opgaver og pligter ikke fører til en interessekonflikt.
• Dertil skal et certificeringsorgan ikke blot have ekspertise inden for databeskyttelse generelt, men også for så vidt angående dét, certificeringen specifikt retter sig imod.
• Justitsministeriet understreger, at der således må stilles ”ret høje krav” til et certificeringsorgan.
Værktøjskasse
51 novi-attorneys.com
Værktøjskasse
• Standard databehandleraftale ud fra en dataansvarlig vinkel til anvendelse overfor leverandører Databehandleraftale
• Udadvendt i forhold til bidragsydere og medlemmer • Indadvendt i forhold til ”ansatte” i organisationen og deres behandling af personoplysninger om medlemmer, bidragydere, osv.
• Indadvendt i forhold til behandling af oplysninger om ansatte (tillæg til personalehåndbogen) Privatlivspolitikker
• Generel rammepolitik til beskrivelse af organisationens tidsfrister for opbevaring og sletning af data Slettepolitik
• Proces for håndtering og besvarelse af indsigtsbegæringer • Information til registrerede og til brug for kommunikation med registrerede i forbindelse med indsigtsbegæringer Rettighedskatalog
novi-attorneys.com 52
Spørgsmål og diskussion
novi-attorneys.com 53