Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Persondataforordning - Joomla User Group Copenhagen 18-01-2018

66 views

Published on

En gennemgang af den kommende nye persondataforordning, som træder i kraft 25. maj 2018 og er gældende i hele EU, og som påvirker alle, som opbevarer personoplysninger.

Published in: Business
  • Be the first to comment

  • Be the first to like this

Persondataforordning - Joomla User Group Copenhagen 18-01-2018

  1. 1. ©2017AbMano Persondataforordningen
  2. 2. ©2017AbMano Fasten your seatbelt!
  3. 3. ©2017AbMano Persondataforordningen • General Data Protection Regulation (GDPR) • Opdatering af persondataloven på EU plan • Beskyttelse personers private oplysninger og styrkelse af personers retsstilling • Gælder for offentlige myndigheder, private virksomheder, foreninger m.v., der behandler persondata (ikke personlige eller familiemæssige aktiviteter) • Gælder for myndigheder og virksomheder i Danmark, som behandler personoplysninger i EU.
  4. 4. ©2017AbMano Kort fortalt • Pligt til have korrekte og ajourførte personoplysninger • Skærpede krav til samtykke • Retten til at blive glemt • Dokumentationskrav • Krav til databehandlere • Datasikkerhed • Notifikationspligt • Data Protection Officer (DPO) • Bødeforlæg • Træder i kraft 25. maj 2018
  5. 5. ©2017AbMano Hvordan gribes det an? • Kender nøglepersoner i virksomheden til forordningen? • Hvilke personoplysninger behandler du? – Hvor kommer de fra, og hvem deler du dem med? – Hvilken type personoplysning? • Hvilken information giver du den registrerede? • Opfyldes de registreredes rettigheder? • Hvordan indhentes, opbevares og dokumenteres personoplysninger? • Behandles personoplysninger om børn? • Handling ved brud på persondatasikkerheden • Er der særlige risici? • Har du databeskyttelse i IT-systemer? • Skal du have en Data Protection Officer? • Har du afdelinger i flere lande?
  6. 6. ©2017AbMano Hvad er behandling? ”Enhver aktivitet eller række af aktiviteter med eller uden brug af automatisk behandling, som personoplysninger eller en samling af personoplysninger gøres til genstand for” Dvs. personoplysninger, der er eller vil blive indeholdt i et register. Primært elektronisk behandling af oplysninger. • Skal ske lovligt, rimeligt og på en gennemsigtig måde. • Oplysninger må indsamles til udtrykkeligt angivne formål og må ikke viderebehandles på en uforenelig måde. Dvs. må ikke bruges til andet end det, de er indsamlet til. • Oplysninger skal være korrekte og om nødvendigt ajourførte, ellers skal de slettes eller berigtiges. • Dataansvarlige skal ligeledes sikre, at der ikke (kan) registreres urigtige eller vildledende oplysninger. • Må ikke gemmes længere tid end nødvendigt (til formålet).
  7. 7. ©2017AbMano Hvad er formålet? • Formålet skal være sagligt og skal kunne begrundes. • Hvad er forholdet mellem det oprindelig formål og formålet med viderebehandling? • Personoplysningerne skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til formålet. • Oplysningernes art skal svare til det formål, der tilsigtes med behandlingen. • Personoplysningerne skal som udgangspunkt kun behandles, hvis formålet med behandlingen ikke med rimelighed kan opfyldes på anden måde. Need to know – ikke nice to know Need to know – ikke nice to know
  8. 8. ©2017AbMano Hvad er et register?
  9. 9. ©2017AbMano Hvad er en personoplysning? • ”Enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede)” • F.eks. – navn, adresse, telefonnummer, email, alder, arbejdsplads, uddannelse m.v. – identifikationsnummer, bl.a. CPR-nr., kundenr., medarbejdernr, IP-adresse – kreditkortnummer – oplysninger om kontaktpersoner hos samarbejdspartnere – f.eks. email el. stilling – optagelser fra overvågningskameraer – billeder af personer, der kan identificeres – oplysning om en persons fysiske eller psykiske tilstand samt medicinbrug og misbrug af narkotika, alkohol og lign. – fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale oplysninger – andre oplysninger, der kan henføres til en fysisk person
  10. 10. ©2017AbMano Registreredes rettigheder • Oplysningspligt – Ret til at få oplysning om behandlingen af personoplysninger, formålet for indsamling, hvem er dataansvarlig, evt. modtagere af oplysninger m.v. • Indsigtsret – Ret til at få indsigt i hvilke oplysninger, der behandles • Berigtigelse – Ret til at få urigtige oplysninger berigtigtet • Retten til at blive glemt – Ret til at få slettet oplysninger (hvis de ikke længere er nødvendige for formålet) • Indsigelse – Klage til Datatilsynet • Dataportabilitet – Overførsel af oplysninger til anden virksomhed
  11. 11. ©2017AbMano Kategorier af personoplysninger • Almindelige oplysninger – Navn – Adresse – Telefonnummer – Email – Fødselsdato – Uddannelse – Stilling – Løn – Skat – … m.m. – Oplysninger om strafbare forhold 1,2) – Sociale problemer 1,2) – Andre rent private forhold end følsomme oplysninger 1) – CPR nr. 2) 1) Tidligere semi-følsomme oplysninger 2) Fastsættes i de enkelte medlems- lande (visse oplysninger er endnu ikke fastlagt) • Personfølsomme oplysninger – Race eller etnisk baggrund – Politisk, religiøs eller filosofisk overbevisning – Fagforeningsmæssigt tilhørsforhold – Genetiske eller biometriske data med henblik på identifikation 3) – Helbredsoplysninger – Seksuel orientering 3) Nyt afsnit
  12. 12. ©2017AbMano ”Enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling.” Samtykke
  13. 13. ©2017AbMano Samtykke • Frivilligt – Uden tvang og baseret på reelt og frit valg (”opt out” ikke tilladt) • Specifikt – Hvilke oplysninger, til hvad, hvor længe m.m. • Informeret – Hvem behandler og hvordan; stiltiende samtykke er utilstrækkeligt • Utvetydigt – Ingen tvivl om afgivelse eller omfanget af et samtykke (f.eks. ikke indeholdt i almindelige betingelser) – Skal være klart og forståeligt • Dokumentation – Ikke krav om skriftlighed, men dataansvarlige har bevisbyrden; – Nyt samtykke skal indhentes, hvis der ændres på forhold • Tilbagetrækning – Registrerede kan til enhver tid trække sit samtykke tilbage lige så let som at give samtykke – SKAL oplyses ved indhentelse af samtykke
  14. 14. ©2017AbMano Skærpede krav til samtykke • Almindelige oplysninger – Samtykke • Personfølsomme oplysninger – Udtrykkeligt samtykke • Særlig beskyttelse af mindreårige (under 16/13 år) – Kræver forældresamtykke
  15. 15. ©2017AbMano Samtykkeindhold • Informere om – Formålet for indsamling – Kontaktoplysninger på den dataansvarlige – Modtagere af oplysninger (f.eks. kun virksomheden selv) – Rettighed til at rette og slette data – Rettighed til at trække samtykke tilbage – Mulighed for at klage til Datatilsynet
  16. 16. ©2017AbMano Dataansvarlig og databehandler Dataansvarlig • En fysisk eller juridisk person, offentlig myndighed eller andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger Databehandler • En fysisk eller juridisk person, offentlig myndighed eller andet organ, der behandler personoplysning på den dataansvarliges vegne • Kræver indgåelse af skriftlig databehandleraftale mellem den dataansvarlige og databehandleren
  17. 17. ©2017AbMano Dataansvarlig • Som udgangspunkt selve virksomheden, ikke enkeltpersoner • Ansvarlig for overholdelse af størstedelen af GDPR
  18. 18. ©2017AbMano Data Protection Officer • Nødvendig, hvis – virksomhedens hovedaktivitet beror på databehandlingsprocesser, hvor det er nødvendigt med omfattende og systematisk overvågning af personer – kerneaktiviteterne består af omfattende behandling af følsomme personoplysninger eller oplysninger om strafferetlige forhold
  19. 19. ©2017AbMano Databehandler • Databehandlere er ansvarlige for, at: – Man ikke behandler data på andre måder, end man har aftalt med den dataansvarlige – Udarbejde reporter over behandlingsaktiviteterne – Implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger – Informere den dataansvarlige ved databrud - og uden unødigt ophold – Udpege en DPO, hvis det er påkrævet – Overholde reglerne for overførsel af data til lande uden for EU – Eksplicitte betingelser for, hvornår en databehandler må benytte sig af underdatabehandlere – Kan ifalde erstatningsansvar over for de registrerede personer
  20. 20. ©2017AbMano Krav til databehandleraftalens indhold • Behandlingens varighed • Formålet med behandlingen • Typer af data, der behandles • Kategorier af datasubjekter • Databehandlerens pligter og rettigheder, navnlig – alene behandle data efter den dataansvarliges dokumenterede instruks – sikre, at medarbejdere, der behandler data, er underlagt en fortrolighedsforpligtelse – efterkomme alle lovpligtige sikkerhedsforanstaltninger – overholde krav vedrørende anvendelse af andre databehandlere – i muligt omfang bistå den dataansvarlige med at behandle begæringer, udarbejde PIA, underretning af tilsynsmyndigheden ved sikkerhedsbrud mv. – være i stand til over for den dataansvarlige at fremvise alt nødvendig information for at dokumentere compliance med reglerne i forordningen
  21. 21. ©2017AbMano Eksempel på databehandleraftale ”Databehandleren handler alene efter instruks fra den dataansvarlige. Databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. Databehandleren skal på den dataansvarliges anmodning give den dataansvarlige tiltrækkelige oplysninger til, at denne kan påse, at de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger er truffet.” Ved mindre komplicerede løsninger, f.eks. hjemmesidehosting, ifølge Datatilsynet
  22. 22. ©2017AbMano Overførsel til tredjelande • Overførsel – Videregive personoplysninger til en dataansvarlig udenfor EU – Overlade personoplysninger til databehandler udenfor EU – Gælder også ‘kikke-adgang’ – Gælder uanset sprog (om man forstår det eller ej)
  23. 23. ©2017AbMano Overførsel til tredjelande • Der må overføres persondata til 3. land såfremt: – 3. land sikrer et tilstrækkeligt beskyttelsesniveau – Den registrerede har givet udtrykkeligt samtykke – Overførslen er nødvendig for at beskytte den registreredes vitale interesser – Binding Corporate Rules (godkendt af Datatilsynet) – Overførsel af data til tredjelande, når overførslen er nødvendigt for den dataansvarliges legitime formål, og dennes interesse ikke overstiger den registrerede persons interesse.
  24. 24. ©2017AbMano Usikre tredjelande • Afgøres af Kommissionen • USA er IKKE et sikkert land! – med mindre der er indgået EU-US Privacy Shield – www.privacyshield.gov/list • Overførsel til tredjeland kan finde sted, hvis den registrerede person har givet sit udtrykkelige samtykke til overførslen. – Frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede – Information om mulige risici, overførslen kan medføre
  25. 25. ©2017AbMano Virksomhed i flere EU lande • Kommunikere med én tilsynsmyndighed inden for EU (som hovedregel), når du foretager grænseoverskridende behandlinger
  26. 26. ©2017AbMano Databeskyttelse i IT-systemer • Ikke indsamler flere personoplysninger end nødvendigt • Ikke opbevarer oplysningerne længere end nødvendigt • Ikke anvender oplysningerne til andre formål end det formål, som oplysningerne oprindeligt blev indsamlet til. • Indtænke databeskyttelse ved udvikling af nye eller ændring af eksisterende it-systemer (databeskyttelse gennem design/privacy by design)
  27. 27. ©2017AbMano Privacy-by-design / Privacy-by-default • Persondatabeskyttelse skal medtænkes, når du udvikler ny teknologi, produkter eller ydelser • Hvis du udvikler en ydelse eller et produkt, skal du overveje om ydelsen eller produktet indebærer en behandling af persondata. Hvis ja, skal passende sikkerhedsforanstaltninger indarbejdes fra start • By design – Produktdesign egnet til persondatasikkerhed – Teknik skal være ”designet” til compliance • By default – Kun relevante data indsamles og behandles – Må ikke gemmes længere end nødvendigt – Kun relevante personer har adgang – Tilstrækkelige tekniske og organisatoriske mål – Data beskyttelses politikker – Anvende godkendte Code of Conduct’s og certificeringer – Pseudonymisering
  28. 28. ©2017AbMano Dokumentationskrav • Passende dokumentation • Demonstrere overholdelse af persondataforordningen • Skriftlig dokumentation for enhver behandlingstype • Den dataansvarlige skal have præcis, lettilgængelig og tydelig information om: – hvorfor og hvordan persondata behandles – hvilke rettigheder datasubjektet har – hvem der er dataansvarlig – hvilke persondata, der er blevet behandlet – overførsler til 3. lande, m.v.
  29. 29. ©2017AbMano Notifikationspligt • Hændelig eller ulovlig ødelæggelse, tab m.v. • Databehandler informere dataansvarlige uden ubegrundet ophold • Dokumentere brud • Anmelde bruddet til Datatilsynet inden for 72 timer • Ved høj risiko for fysiske personers rettigheder eller frihedsrettigheder, f.eks. risiko for diskrimination, identitetstyveri eller bedrag skal de registrerede– uden unødig forsinkelse – underrettes om bruddet
  30. 30. ©2017AbMano Datasikkerhed • Pseudonymisering og kryptering • Fortrolighed, integritet og tilgængelighed • Robusthed i systemer og tjenester • Sikre gendannelse og adgang til data i tilfælde af et fysisk eller teknisk hændelse • Regelmæssigt test, vurdering og evaluering
  31. 31. ©2017AbMano Dataportabilitet • Ret til at modtage persondata om sig selv • Struktureret • Maskinlæsbart format • Almindelig anvendelig elektroniske formater • Ret til at få overført persondata direkte til en anden service provider, hvor det er teknisk muligt
  32. 32. ©2017AbMano Retten til at blive glemt • Persondata, som ikke længere er nødvendige • Samtykke tilbagekaldes • Databehandlingen er ulovlig • Registreret person er under 16 år gammel • Dog ikke hvor: – Udøvelse af pressefrihed – Overholdelse af gældende lov – Databehandling i den offentlige interesse – Arkivering opretholdt i den offentlige interesse
  33. 33. ©2017AbMano Bødestørrelse • Ved databrud – 2% af virksomhedens globale omsætning eller €10 mio. – Hvis virksomheden ikke har underrettet Datatilsynet om et databrud, hvor der ikke er udarbejdet en impact assessment, eller hvor oplysningspligten over for de registrerede personer ikke er overholdt. • Ved persondatabrud – 4% af virksomhedens globale omsætning eller €20 mio. – Hvis virksomheden foretager behandling uden hjemmelsgrundlag, undlade at slette, give indsigt i eller rette data samt ved ulovlig overførsel af data til tredjelande.
  34. 34. ©2017AbMano Hvor begynder du? • Hvilke data? – Medarbejdere – Kunder – Leverandører – Kunders data • Hvem deles data med? • Hvem er dataansvarlig / databehandler? – Underdatabehandlere? – Overførsler til 3. land • Tilstrækkelig dokumentation?
  35. 35. ©2017AbMano Hvor begynder du? • Hvor har du persondata? – F.eks. webshop, CRM, kundeservice, mapper • Hvilke data er det? – Alm. eller følsomme personoplysninger • Hvorfor har du data? – F.eks. kundekartotek, salg, kontrakter • Hvem har adgang? – Hvem er det nødvendigt for? • Hvad skal du gøre? – F.eks. manglende dokumentation, beskrivelse af processer og procedurer, politikker, databehandleraftale
  36. 36. ©2017AbMano Hvis GDPR var en bil … • Spørge om at låne bilen? • Hvem låner du den til? • Hvor længe? • Hvad skal du bruge den til? • Sker der noget med bilen? – Fartbøder, skader, p-bøde • Underrettes ved skade • Reparation af bilen • Ønsker bilen retur – fortryder udlånet • Hvem har nøglerne?
  37. 37. ©2017AbMano Gode links • Datatilsynet – www.datatilsynet.dk • Skræddersyet privatlivspolitik – www.privacykompasset.erhvervsstyrelsen.dk • Tjek din virksomheds IT-sikkerhed – www.sikkerhedstjekket.dk/index.php • EU-U.S. Privacy Shield – www.datatilsynet.dk/erhverv/tredjelande/eu-us- privacy-shield – www.privacyshield.gov/list • Persondatatesten – www.persondatatesten.dk
  38. 38. ©2017AbMano Du er velkommen til at kontakte mig Bibbi Bryld AbMano 2546 4260 bibbi@abmano.dk www.abmano.dk

×