Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Komfo seminar: Er du klar til GDPR med Niels Dahl-Nielsen

227 views

Published on

Takeaways:
- Blive klædt på til den kommende EU-forordning
- Gå i dybden med hvad man skal være opmærksom på i forhold til data
- Indblik i hvem der er omfattet af den nye forordning
- Hvornår er man behandler/hvornår er man ansvarlig
- Hvad betyder din rolle for dit arbejde?
- Hvad indebærer det, når man arbejder med sociale medier?

Published in: Social Media
  • Be the first to comment

  • Be the first to like this

Komfo seminar: Er du klar til GDPR med Niels Dahl-Nielsen

  1. 1. Disclaimer and copyright notice • The presentation is for information purposes only, is general in nature, and is not intended to and should not be relied upon or construed as a legal opinion or legal advice regarding any specific issue or factual circumstance. Nor is this information intended to create, and receipt of it does not create, an attorney-client relationship between you and the firm. Therefore, you should consult an attorney in the event you want legal advice. • The person receiving this presentation via email from Synch is solely allowed to review the presentation in digital form or printed form and any further use of the presentation (including but not limited to copying, reproducing, making available, incorporating the presentation into other works or modifying etc.) is subject to Synch prior written authorisation. All rights are vested in Synch.
  2. 2. SynchWakeup @Komfo 6 December 2017 Why and how to prepare for the GDPR Advokat Niels Dahl-Nielsen, Synch
  3. 3. Synch is a business oriented law firm with innovation and technology at its ” ”
  4. 4. Silicon Valley Copenhagen Stockholm
  5. 5. Growth Established Mature Vores klienter
  6. 6. Dagsorden Aktuel status på lovgivningsprocessen Hvad er databeskyttelse? Betingelser for behandling af personoplysninger Dataansvarlig eller databehandler? Brug af SoMe Forberedelse til GDPR?
  7. 7. Aktuel status på lovgivningsprocessen
  8. 8. Status • GDPR vedtaget, foråret i 2016 • (bliver håndhævet fra den 25. maj 2018) • Justitsministeriets betænkning, sommeren 2017 • Forslag til ny databeskyttelseslov fremsat 25. oktober 2017 (1. behandling i Folketinget 16. november 2017) • Skal træde i kraft den 25. maj 2018 • Den nye databeskyttelseslov skal supplere GDPR med danske særregler på en række områder • Justitsministeriets vejledninger
  9. 9. Hvad er databeskyttelse?
  10. 10. Personoplysninger skal behandles
  11. 11. Hvad er personoplysninger? • Enhver information om en identificeret eller identificerbar person fysisk person. • “Følsomme oplysninger” (race eller etnisk oprindelse, politisk overbevisning, religiøs eller filosofisk overbevisning, fagforeningsmedlemskab, genetisk eller biometrisk data, seksuel orientering, helbredsoplysninger) Navn, IP-adresse, emailadresse, GPS- lokation, device identifiers, biometrisk data, indkomst, helbredsoplysninger, osv.
  12. 12. Hvad er behandling? • indsamling • registrering • organisering • systematisering • opbevaring • tilpasning • redigering • videregivelse • søgning • brug • overførsel • tilpasning • strukturering • sammenkøring • tilintetgørelse • vurdering • sletning
  13. 13. Betingelser for behandling af personoplysninger
  14. 14. Overvejelser inden behandlingen 1. Er der tale om behandling af personoplysninger? 2. Er de generelle behandlingsprincipper overholdt? 3. Er der hjemmel til behandlingen? 4. Håndtering af de registreredes rettigheder 5. Behandlingssikkerhed
  15. 15. Generelle behandlingsprincipper • Lovlighed, rimelighed og gennemsigtighed • Formålsbegrænsning • Dataminimering • Rigtighed • Opbevaringsbegrænsning • Integritet og fortrolighed • Ansvarlighed (accountability)
  16. 16. Definition af behandlingens formål • Hvilke opgaver løser vi, og hvilke data understøtter løsningen af disse opgaver? • Princippet om formålsbegrænsning • Indsamling må kun ske til specifikke, udtrykkelige og legitime formål • Behandling kun i overensstemmelse med formålet • Viderebehandling må ikke være uforenelig med formålet • Formålet vil afgøre • Grundlaget for behandlingen • Hvilke data, der kan indsamles
  17. 17. Princippet om dataminimering • Alene indsamling af personoplysninger, der er relevante og tilstrækkelige til opfyldelse af behandlingsformålet
  18. 18. Princippet om opbevaringsbegrænsning • Personoplysninger må kun opbevares (i personhenførbar form) så længe det er nødvendigt af hensyn til behandlingsformålet • Slettepolitikker skal understøtte dette
  19. 19. Ansvarlighed (accountability) • Man skal sige, hvad man går – og forklare hvorfor • Man skal gøre, hvad man siger – og dokumentere det
  20. 20. Behandlingsgrundlag – hjemmel? Opfyldelse af kontrakt Overholdelse af en retlig forpligtelse Nødvendig for beskyttelse af den registreredes vitale interesser Samfundets interesse eller udøvelse af offentlig myndighed Interesseafvejning Samtykke
  21. 21. Om samtykke Samtykker kan tilbagekaldes! Frivilligt, specifikt, informeret, utvetydigt “Udtrykkeligt” ved følsomme oplysninger Let forståeligt Hvis afgivet sammen med andre vilkår – klart fremhævet HUSK dokumentationskravet!
  22. 22. Behandling af følsomme oplysninger • Behandling som udgangspunkt forbudt, medmindre • Udtrykkeligt samtykke • Nødvendig på det arbejdsretlige område med hjemmel i lovgivning • Nødvendig for beskyttelse af vitale interesser • Tydeligvis offentliggjort af den registrede • Politiske, religiøse, faglige foreningers behandling af oplysninger om medlemmer • Nødvendig for at retskrav kan fastlægges, gøres gældende eller forsvares • Væsentlige samfundsinteresser • Nødvendigt på sundhedsområdet af personer underlagt tavshedspligt • Arkivering i samfundets interesse, eller videnskabelige formål m.v.
  23. 23. Pligter overfor den registrerede – oplysningspligt • Privacy policy / privacy notice • Præcist og letforståeligt sprog • Gives for at den registrerede kan vurdere risici ved behandlingen • Gives når • De indsamles fra den registrerede • Inden for rimelig tid, hvis indsamlet fra tredjemand, eller ved første kommunikation, eller når oplysningerne videregives Kontaktopl ysninger på den datanasva rlige (og DPO)Opbevarin gsperiode Kategorier af modtagere Oplysning om overførsel til tredjemand og safegurads Formål og grundlag for behandlin gen Information om de registreredes rettigheder Div. Yderligere oplysninger
  24. 24. Overholdelse af den registreredes rettigheder Ret til berigtigelse Ret til ikke at være genstand for profilering Ret til data- portabilitet Ret til sletning Indsigtsret Ret til indsigelse Ret til begrænsning af behandling
  25. 25. Organisatoriske krav og behandlingssikkerhed • Tilstrækkelige sikkerhedsmæssige og organisatoriske foranstaltninger • Underretningspligt ved sikkerhedsbrud (72 timer) • Pligt til at udpege DPO • Pligt til at føre fortegnelse over behandlingsaktiviteter • Konsekvensanalyser
  26. 26. Outsourcing af databehandling • Outsourcing af behandlingsaktiviteter indebærer, at behandlingen af data overlades af en ekstern part • Den eksterne part behandler data på den dataansvarliges vegne i henhold til instruks • Hvor data overføres til et land uden for EU/EØS, kan dette kun ske, hvis der er et tilstrækkeligt beskyttelsesniveau • EU/EØS • Sikre tredjemande • Usikre tredjelande • SCC • Ad hoc-aftaler • USA?
  27. 27. Dataansvarlig eller databehandler?
  28. 28. Hvem er hvem? Datasubjekt Dataansvarlig Databehandler Underdatabehandler Online trader Cloud Service Provider Datacenter
  29. 29. Dataansvarlig og databehandler • Dataansvarlig • Den, der afgør til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger • Databehandler • En, der behandler personoplysninger på den dataansvarliges vegne • Handler udelukkende efter instruks fra den dataansvarlige og må alene anvende oplysningerne til udførelsen af opgaven for den dataansvarlige • Som noget nyt kan også databehandleren ifalde ansvar
  30. 30. Den dataansvarliges forpligtelser • Som dataansvarlig har man ansvaret for, at en behandling lever op til GDPR, herunder fx: • Generelle behandlingsprincipper • Der skal være et retligt grundlag for behandlingen • Overholdelse af de registreredes rettigheder • Indberetning af eventuelle brud på persondatasikkerheden • Ved brug af databehandlere, skal der indgås databehandleraftaler • Du skal føre tilsyn med databehandlere (og underdatabehandlere)
  31. 31. Databehandlerforhold? • Hvilken ydelse skal leveres? • Alene tale om en databehandlersituation, hvis der behandles personoplysninger efter instruks fra en dataansvarlig • Hvis levering af ydelsen ikke kræver, at der afgives en instruks om at behandle personoplysninger, vil det ikke være en databehandlersituation. Gælder også selvom den anden part modtager visse personoplysninger, som er nødvendige for levering af (hoved)ydelsen.
  32. 32. Er din databehandler databehandler?... • Hvem træffer afgørelse om formål og hjælpemidler? • Kan du bede din ”databehandler” om at slette oplysningerne?
  33. 33. ”Overladelse” vs ”videregivelse” • ”Overladelse” kan ske frit, mens ”videregivelse” kræver hjemmel og opfyldelse af oplysningspligt • Derfor afgørende for den dataansvarlige at afklare, hvem en modtager af personoplysninger er • En intern person • Data kan frit overlades internt (samme CVR-nr.) • De generelle principper • Autorisation og fortrolighed • En databehandler • Data kan frit overlades til databehandler, men der skal indgås databehandleraftale • Databehandleraftalen skal indeholde en instruks • Der skal føres tilsyn med databehandleren • Tredjemand (ny selvstændig dataansvarlig) • De generelle behandlingsprincipper (bla. formålsbegrænsning) • Behandlingsgrundlag
  34. 34. Videregivelse til ny selvstændig dataansvarlig • Videregivelse til en anden selvstændig dataansvarlig • Der kræves: • Hjemmel til videregivelse • Hjemmel til at modtage (behandle) oplysninger • (Hvis ikke databehandlerforhold, brug anden hjemmel end samtykke) • Modtagende part skal opfylde sin oplysningspligt
  35. 35. Databehandler  Databehandleraftale • Skal være skriftlig og elektronisk • Databehandleren skal iværksætte sikkerhedsforanstaltninger (art. 32) • Databehandleren bistår den dataansvarlige med overholdelse af de registreredes rettigheder • Brug af underdatabehandlere kræves der skriftlig, forudgående specifik eller generel tilladelse fra den dataansvarlige • Underdatabehandleraftalen skal pålægge underdatabehandleren de samme pligter som databehandleren • Databehandleren er ansvarlig over for den dataansvarlige for underdatabehandlerens behandling • Databehandleren skal tilbagelevere eller slette alle oplysninger ved ophør • Databehandleren stiller alle nødvendige oplysninger til rådighed og tillader audit • (listen er ikke udtømmende)
  36. 36. Brug af SoMe
  37. 37. SoMe – Dataansvarlig eller databehandler? • Datatilsynets afgørelse af den 8. november 2013: • Myndighed planlagde at oprette en profil på Facebook til brug for pilotprojekt og rettede henvendelse til Datatilsynet om konsekvenser af eventuel brug • Myndigheden er dataansvarlig for så vidt angår oplysninger i “indbakken” • Facebook er databehandler (med alt, hvad det medfører…)
  38. 38. Generelt ved brug af SoMe • Når privatpersoner anvender SoMe til rent private formål, gælder GDPR ikke • Et post kan dog være tilgængeligt for så mange personer, at det sidestilles med ”offentliggørelse”, og så gælder GDPR • Virksomheders brug af SoMe er erhvervsmæssig (og indebærer behandling af personoplysninger) og er derfor omfattet af GDPR
  39. 39. Brug af Facebook audiences - markedsføringsretligt • ”Elektronisk post” (SMS/e-mail) eller ”anden kommunikation”? • Samtykkekrav eller krav om mulighed for opt-out • Forbrugerombudsmanden • Meddelelser i indbakke eller på tidslinje = elektronisk post • Ads i newsfeed = Usikkert. Dog formentlig ”anden kommunikation” derfor ikke samtykkekrav, men alene krav om opt-out-mulighed fra hver enkelt annoncør • Bannerannoncer = ingen af delene
  40. 40. Brug af Facebook audiences - persondataretligt • Erhvervsmæssig benyttelse. Undtagelsen om rent privat formål gælder ikke • Annoncøren er dataansvarlig • Er der tale om ”behandling” fra Facebooks side? • E-mail (hashed) bruges som ”identifier” (og ikke kommunikationsmiddel) og slettes straks derefter. Behandlingen sker således på vegne af annoncøren. • Facebooks vilkår næppe tilstrækkelige til databehandleraftale • Hvad er annoncørens behandlingsgrundlag? • Samtykke? • Interesseafvejningsreglen • Markedsføring ikke illegitimt formål • ”Anden kommunikation” anses for mindre indgribende • E-mailadressen er ”hashed”
  41. 41. Forberedelse til GDPR
  42. 42. Data protection has to be a of new projects, processes, products, services etc.
  43. 43. Forberedelser • Skab awareness og databeskyttelseskultur (man kan ikke købe sig til compliance!) • Data mapping • Leverandører (databehandlere) • Hvem er de? • Hvilke data behandler de? • Databehandleraftaler på plads? • Dataoverførselsaftaler? • Skab overblik over data og risici (Gap-analyse) • Læg plan for mitigering af risici • Genbesøg og løbende datagovernance • HUSK den risikobaserede tilgang
  44. 44. Spørgsmål?
  45. 45. HUSK tilmelding til næste seminar den 17. januar 2018! Tak for i dag!
  46. 46. Niels Dahl-Nielsen niels.dahl-nielsen@synchlaw.dk +45 4030 9749

×