SlideShare a Scribd company logo

EU's Persondataforordning i det daglige arbejde

Download as PPTX, PDF
Peytz & Co
Peytz & Co

Hvad betyder EUs persondataforordning for dit arbejde? Slides fra Peytz & Co's morgeninspiration i København den 9. februar 2017. Foredraget blev holdt af advokat Jesper Langemark, Bird & Bird, forfatter til bogen "Persondataforordningen – en håndbog for praktikere" og en af EU's førende eksperter på området. Jesper fik i 2015 prisen 'Årets it-advokat i Danmark' af Corporate INTL Magazine.

Law
1 of 84
Person- data Side 1
EU-persondataforordningen – væsentligste ændringer og praktiske konsekvenser for virksomheder Netværksmøde den 9. februar 2017 Advokat, partner Jesper Langemark
Velkommen ● 8.55 : Vi sætter os ned (ikke før) ● 9:00: Velkommen ved Claus Sølvsteen, Peytz ● 9:05: Jesper Langemark, Bird & Bird ● 9:45: Et kvarters pause ● 10:45: Tak for i dag Side 3
Om Bird & Bird ● 28 kontorer i 21 lande ● 2 kontorer i Danmark ● 1.200 advokater ● International Privacy & Data Protection Group Side 4
Agenda 1. Forordningen i helikopterperspektiv 2. Sanktioner 3. Forordningens nye dokumentationskrav 4. Nye, skærpede sikkerhedskrav 5. Data Protection Officers 6. Hvordan gribes compliance arbejdet an? 7. Databehandleraftaler 8. Quiz  Side 5
Overblik over forordningen ● Afløser den 16 år gamle persondatalov ● Finder anvendelse fra den 25. maj 2018 ● Udvider beskyttelsen af personlige oplysninger ● Udvider virksomhedernes forpligtelser ● Indfører nye rettigheder − "The right to be forgotten", forbud mod automatisk profilering, dataportabilitet, m.fl. ● Skærpet bødeniveau Side 6
A quick comparison… Page 7 291% increase 240 % increase 240 % increase From local to global From member states to Europe DP Directive 95/46/EC General DP Regulation 34 articles 99 articles 72 recitals 173 recitals 8 definitions 19 definitions scope extends to local processing scope extends to global processing effective through national DP Acts directly effective varied national guidance & enforcement centralized enforcement and guidance Enforcement patchy Fines of 4% worldwide turnover From little enforcement to a lot
”Top-10” over væsentligste ændringer 1. Udvidet territorialt anvendelsesområde 2. Skærpede krav til behandlingshjemmel 3. Nye dokumentationskrav 4. Styrkelse af de registreredes rettigheder 5. Privacy by design, privacy by default og krav om risikovurderinger 6. Pligt til udpegning af Data Protection Officer i visse tilfælde Side 8
”Top-10” - fortsat 7. Underretningspligt ved sikkerhedsbrud 8. Brug af databehandlere og krav til databehandlere 9. Overførsel til tredjelande 10. Håndhævelse, "one-stop shop" og sanktioner Side 9
Sanktioner
De skærpede sanktioner – nok den væsentligste konsekvens… ● Virksomheder behandler eksponentielt stigende mængder af personoplysninger ● Personoplysninger er for mange virksomheder et væsentligt aktiv og persondatabehandling afgørende for virksomhedens drift ● Den øgede datamængde og vigtigheden heraf for virksomhederne på den ene side og Forordningens skærpede sanktioner på den anden er i praksis den væsentligste konsekvens for virksomhederne; − Overholdelse af reglerne bliver forretningskritisk og dermed et ledelsesanliggende − Det bliver endvidere væsentligt for vurderingen af virksomhedens værdi – og et centralt tema i virksomhedshandler ● "Compliance by chance" is no longer an option! Side 11
● Erstatning − Alle, der lider tab som følge af en overtrædelse, kan kræve erstatning − Omvendt bevisbyrde! • Dataansvarlig eller databehandler kan/skal helt eller delvist fritages for erstatningsansvar, hvis de: – beviser, at de ikke er ansvarlige for hændelsen, der medførte skaden − Tab skal stadig bevises, men − 'Tort erstatning' for ikke økonomisk skade er en mulighed − Mulighed for gruppesøgsmål fra registrerede Side 12
● Bøder • Op til EUR 20m eller 4% af årlig globale omsætning – Afhængigt af hvad der er højest • Tage højde for: grovheden, skades størrelse, gentagelse m.v. • Niveauet er væsentligt forøget i forhold til tidligere • Sanktioner skal være afskrækkende • Ensartede i hele EU ● Bøder kan udstedes administrativt – dog ikke i Danmark Side 13
Oversigt over bødeniveau Side 14
Sanktioner Anmeldelse af sikkerhedsbrud til Datatilsynet − Uden ugrundet ophold og ikke senere end 72 timer ● Orientering til datasubjekterne − Hvor der er “høj risiko” for datasubjekterne − Uden ugrundet ophold Side 15
Side 16 Hacker puts up 167 Million LinkedIn Passwords for Sale Wednesday, May 18, 2016 LinkedIn's 2012 data breach was much worse than anybody first thought. In 2012, LinkedIn suffered a massive data breach in which more than 6 Million users accounts login details, including encrypted passwords, were posted online by a Russian hacker. Now, it turns out that it was not just 6 Million users who got their login details stolen. http://thehackernews.com/2016/05/linkedin-account-hack.html
Nye krav til dokumentation
● Anmeldelsessystemet afskaffes – ”prisen” er øgede krav til dokumentation, gennemsigtighed og egenkontrol ● Virksomhedens persondatabehandling skal dokumenteres! ● Den dataansvarlige skal opfylde to overordnede dokumentationskrav: 1. Dokumentere, at behandling af personoplysninger er i overensstemmelse med forordningens generelle principper 2. Dokumentere, at der er iværksat passende tekniske og organisatoriske foranstaltninger til beskyttelse af personoplysninger Side 18
● Hvordan? − 'fortegnelse' over behandlingsaktiviteter − Passende procedure for håndtering af de registreredes rettigheder − Udarbejdelse af intern persondatapolitik samt sikkerhedspolitik − Løbende ajourføring Side 19
• Fortegnelsen over behandlingsaktiviteter skal indeholde oplysninger om: • Navn og kontaktoplysninger til: – Dataansvarlig(e), – Evt. DPO og evt. repræsentant • Formål med behandlingen • En beskrivelse af kategorier af datasubjekter og datatyper • Kategorier af datamodtagere • Overførsler til tredjelande • Tidsgrænser for sletning • Overordnet beskrivelse af teknisk og organisatorisk sikkerhed Også et krav for databehandlere, men mindre omfattende Side 20
● Den dataansvarlige skal have passende foranstaltninger (reelt procedurer), som sikrer håndteringen af: − Alle datasubjekternes rettigheder, bl.a.: • Orienteringspligt til datasubjekterne • Indsigtsret • Ret til berigtigelse • Indsigelsesret ● Henvendelser vedrørende rettigheder − Tidsfrist for besvarelse – uden unødigt ophold og inden 1 måned − Hvis ønske afvises • Begrundes • Klagemulighed og mulighed for retssag skal beskrives Side 21
● Almindelig risikovurdering og Data Protection Impact Assesment – skal dokumenteres → Bør altid foreligge skriftligt! (For DPIA et udtrykkeligt krav) ● Sikkerhedsbrud – skal også dokumenteres Side 22
Nye, skærpede sikkerhedskrav
Artikel 22: Dataansvarlig skal implementere 'passende tekniske og organisatoriske sikkerhedsforanstaltninger' og kunne bevise dette overfor myndighederne. • En del af den øgede dokumentationspligt (til gengæld afskaffes anmeldelsespligten) − Hvad er passende? (afvejning mellem risiko, state of the art og omkostninger) Side 24
● Pligt til at foretage risikovurdering, dvs. en vurdering af risici forbundet med behandlingen • Persondataforordningens artikel 32, stk. 1: "Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici" ● Har altid skulle foretages! − Men ofte overset ● DPIA (Data Privacy Impact Assessment) − Særligt omfattende risikovurdering − Kræves, hvis der er særlige risici • Fx. brug af ny teknologi (cloud, big data m.v.), automatiseret behandling/profilering af økonomiske forhold eller følsomme oplysninger ● Leverandørens (databehandlerens) rolle ● Brug af sikkerhedsstandarder – ISO 27000-serien f.eks. Side 25
Dansk Industris vejledning om DPIA Side 26
Anmeldelse af brud på persondatasikkerhed ● Hvad er et brud på persondatasikkerheden? − "Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet." − Meget bred definition Side 27
Anmeldelse af brud på persondatasikkerhed Eksempler: • Organisatorisk fejl – Adgang for personer uden behov • Menneskelige fejl – Offentliggørelse af personoplysninger på internettet som følge af fejl eller uvidenhed om, hvad der må offentliggøres, eller som følge af utilstrækkelig anonymisering mv. • Utilstrækkelige eller fejlbehæftede it-løsninger – Manglende kryptering af formularer på hjemmesider til brug for fremsendelse af følsomme oplysninger • Kriminelle handlinger – Hackerangreb – Identitetstyveri – Industrispionage eller terror Side 28
Anmeldelse af brud på persondatasikkerhed Orientering til tilsynsmyndighederne  Uden ugrundet ophold og ikke senere end 72 timer  Redegøre for: • Sikkerhedsbruddets karakter • Konsekvenser af sikkerhedsbruddet • Hvordan skaden er/vil blive søgt begrænset af den dataansvarlige • Kontaktoplysninger på dataansvarlig (evt. DPO) • Dokumentere alle relevante forhold omkring sikkerhedsbruddet, så myndigheden kan vurdere, om forordningen er overholdt U: Usandsynligt at der er en risiko Side 29
Anmeldelse af brud på persondatasikkerhed Orientering til datasubjekterne  Kun hvor der er høj risiko for datasubjekterne  Uden ugrundet ophold  Redegøre i letforståeligt sprog for: • Konsekvenser af sikkerhedsbruddet • Anbefalinger til hvordan datasubjektet kan begrænse skaden • Kontaktoplysninger til dataansvarlig (evt. DPO)  Ingen pligt, hvis: • Data er gjort ’uforståelige’ fx ved stærk kryptering • Den dataanvarlige har ‘fjernet’ risiko • Uforholdsmæssigt besværligt – Men så krav om offentlig kommunikation (fx. annoncer) Procedure for sikkerhedsbrud bør være del af sikkerhedspolitik Side 30
Privacy by Design/Default ● By design − Alle nye teknologier, produkter og services, der behandler persondata, skal designes med persondatasikkerhed og overholdelse af forordningen in mente ● By default − Persondatabeskyttelse skal være udgangspunktet • Kun relevante data indsamles og behandles • Data kan ikke gemmes længere end nødvendigt • Kun relevante personer har adgang til data Side 31
Privacy by Design/Default ● Eksisterende IT-løsninger − Understøttes privacy by design/default? − Hvis ikke - kan det bringes til at understøtte dette? • Hvilket arbejde/hvilke omkostninger er der forbundet med dette? • Hvor lang levetid har den pågældende it-løsning tilbage? ● Nye IT-løsninger − Sikre, at kommende IT understøtter privacy by design/default − Sikre, at de rigtige krav fremgår af kravsspecifikationer/løsningsbeskrivelse − Få dokumentation fra leverandør ● Redskaber til understøttelse af privay by design/default − Pseudonymisering − Kryptering − Systemopsætning/konfigurering − Instrukser/vejledninger Side 32
Data protection officers
● Hvad er en Data Protection Officer ('DPO')? − Tilsyn med overholdelse af Persondataforordningen. − Krav til uddannelsesbaggrund – ekspertviden inden for databeskyttelse, herunder lovgivning og praksis. − Ansat eller tredjepart (kan deles) ● Har din virksomhed brug for en DPO? − Hvis offentlig virksomhed. − Hvis din virksomheds "kerneaktivitet" består i behandling af personoplysninger: • Der har en sådan karakter eller et sådant formål at den kræver regelmæssig og systematisk overvågning af datasubjekter i stort omfang. • Af følsom karakter eller strafbare oplysninger i stort omfang. Side 34
Data Protection Officers ● Ansat eller tredjepart − Kan ’deles’ mellem flere myndigheder/virksomheder f.eks. kan en koncern udpege en fælles DPO ● Uafhængig − Må ikke have ’interessekonflikter’ i stillingen (kan blive svært!) − Må ikke modtage ordrer vedr. dennes opgaver − Kan ikke blive afskediget eller straffet for udførelse af sine opgaver) ● Rapporterer direkte til ledelse ● Kan have andre opgaver (kun hvis ingen interessekonflikt) ● Skal udpeges på grundlag af faglige kvalifikationer, herunder særligt ekspertviden indenfor databeskyttelseslovgivning og praksis Side 35
Data Protection Officers ● DPO’ens job (minimumskrav) − Deltage i alle spørgsmål vedrørende persondatabehandling − Øge vidensniveau hos arbejdsgiver om persondatabeskyttelse (awareness) − Kontaktperson for myndigheder og datasubjekter − Tilsyn med overholdelse af forordning (compliance) − Tilsyn med implementering og overholdelse af • Politikker, procedurer • Sikkerhedskrav/risikovurderinger (+DPIA) • Sikre dokumentation Side 36
Hvordan gribes compliance arbejdet an?
Hvorfor gå i gang nu? ● Der er 16 måneder til Forordningen træder i kraft! − Der bliver nok at se til! • Særligt hvis der ikke allerede er helt styr på persondatabehandlingen! − Compliance har betydning for virksomhedens værdi • Og image udadtil! − Compliance er tidskrævende • Og der kan dukke ubehagelige overraskelser op undervejs! Side 38
Side 39 Dansk industris vejledning - Persondataforordning en – implementering i danske virksomheder
Organisation ● Nedsæt en arbejdsgruppe − Deltagelse fra alle relevante afdelinger – jura, forretning, it, HR − Afhængigt af virksomheden størrelse − Ansvarlige for at bringe virksomheden i compliance ● Inkludér DPO’en / sørg for ledelsesforankring! Side 40
Mapping af persondata ● De færreste virksomheder har fuldt overblik over hvilke persondata de behandler pt. ● Skab overblik/udarbejd en fortegnelse over: − Hvilke persondata I indsamler og behandler • HR, salgs- og markedsføringsafdelinger er ’usual suspects’ • Er der følsomme data iblandt? • Er der ustrukturerede data? • IT-afdeling er et godt sted at starte – de har overblik over systemer • ’Interviews’ af nøglepersoner i alle afdelinger − Til hvilke formål I behandler de enkelte datatyper? Side 41
Mapping af persondata − Hvem er datasubjekterne, og antallet af datasubjekter? − Hvorfra er datene indsamlet? • Datasubjekt • Tredjemand • Internettet − Videregives data? − Hvilken hjemmel ligger til grund for behandlingen, herunder eventuelt videregivelsen? − Er data stadig relevante/ajour? Side 42
Mapping af persondata − Hvor behandles data? • Internt? • Databehandlere? – Er alle databehandleraftaler på plads (og hvor findes de?) − Er der overførsler til tredjelande? • Hvorfor overføres til tredjeland? – Til anden dataansvarlig? – Til databehandlere? Side 43
Mapping af persondata − Behandler I data for andre? (Dvs. I er databehandlere) • Har I styr på alle databehandleraftaler? • Skal de opdateres? (sandsynligvis) • Overholder I kravene i databehandleraftalerne? • Har I tredjemandsdata liggende, som reelt skulle have været slettet? − Dataflowsdiagrammer kan være nyttige − Indhent nødvendige eksisterende anmeldelser/tilladelser fra databeskyttelsesmyndigheder. • Selv om forordningen afskaffer anmeldelsespligten, vil anmeldelserne være nyttige. − Billedet ændrer sig løbende! • Orientere ansatte om arbejdsgruppen/DPO • Pligt til at orientere arbejdsgruppen/DPO – ’Opdagelse’ af flere persondata – Iværksættelse af projekter, som er persondata-relevante Side 44
Politikker / Procedurer ● Eksterne − Findes der en privacy policy? • Er den relevant for alle/nogle indsamlinger af data? • Up-to-date? • Er den forståelig for målgruppen? ● Internt − Er der en overordnet privacy policy ? • Er der en for hver behandlingsområde, som foretages? – Fx markedsføring og HR − Er der udarbejdet en fortegnelse over behandlinger? − Er der procedurer for håndtering af datasubjekters rettigheder? • Ellers bør disse laves Side 45
Orientering af datasubjekter ● Informeres datasubjekter om indsamlingen/ behandlingen? − Kræves opdatering? − Kan det dokumenteres? • Gem tidligere udgaver. ● Samtykke − Identificer eventuelle manglende oplysninger, der kræves i henhold til forordningen − Kan det dokumenteres? • Gem tidligere udgaver • Registrer hvilken udgave, der er samtykket til Side 46
Sikkerhed ● Få overblik over virksomhedens sikkerhed − Findes der en sikkerhedspolitik? • Stadig up-to-date? Eller skal der startes helt fra bunden? − Er der lavet risikovurderinger? • Er de dokumenteret – eller skal de laves? • Er der behov for, at der laves DPIA? − Er der en procedure for udførelse af risikovurderinger/DPIA? − Er der en procedure for håndtering af sikkerhedsbrud? − Husk, at sikkerhed er ikke kun fysisk og teknisk, men i høj grad også organisatorisk! • Mapping af, hvem der har adgang til hvilke data, hvorfor, og er det relevant? Side 47
Privacy by Design/Default ● Eksisterende IT-løsninger − Understøttes privacy by design/default? − Hvis ikke - kan det bringes til at understøtte dette? • Hvilket arbejde/hvilke omkostninger er der forbundet med dette? • Hvor lang levetid har den pågældende IT tilbage? ● Redskaber til understøttelse af privacy by design/default • Pseudonymisering • Kryptering Side 48
Privacy by Design/Default ● Nye IT-løsninger − Sikre, at kommende IT understøtter privacy by design/default − Kontrollere, at det fremgår af kravsspec./løsningsbeskrivelse − Få dokumentation fra leverandør Side 49
Databehandlere ● Bruges databehandlere? − Hvordan er databehandleraftalerne udformet? • Sikrer de jer som dataansvarlig på fornøden vis? • Skal de opdateres for at leve op til forordningens krav? • Bruges ’standardteksten’ fra Datatilsynets hjemmeside? − Hvilke sikkerhedskrav skal stilles til databehandlere? • Om muligt, skal databehandlere overholde samme politik som virksomheden selv • Hvis ikke – hvordan skal ’gaps’ håndteres? − Overholder databehandlerne sikkerhedskravene? • Har I en tilsynsret? – Indhent årlig revisionsrapport – Overvej at foretag inspektion Side 50
Overførsler til tredjelande ● Har I de nødvendige aftaler på plads? − Safe Harbor • OBS! Ordningen er erklæret ugyldig – Find nyt hjemmelsgrundlag fx SCC, BCR eller samtykke • Ny aftale vedtaget og godkendt af Kommisionen - Privacy Shield − SCC • Kan I leve op til vilkårene? – Vær opmærksom på at det ikke er muligt at foretage materielle ændringer • Nye SCC'er ? Side 51
Awareness ● Planlæg undervisning af medarbejdere − Generelt om persondata, og hvorfor det skal respekteres − I politikker/procedurer − Relevante sikkerhedsforhold • også organisatorisk ● Intern bevidsthed og kommunikation ● Opgave for DPO Side 52
Forslag til compliance projektets faser Side 53 1. Opstart 2. Analyse 3. Løsningsbeskrivelse 4. Implementering 5. Drift
Databehandleraftalen
Dataansvarlig eller databehandler? − Dataansvarlig: Afgør til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger. − Databehandler: Behandler personoplysninger på dataansvarliges vegne. • Behandler aldrig data til egne formål − Minder om et 'arbejdsgiver – arbejdstager' forhold Side 55
Indledende præmisser I. Der er (næsten) persondata i alle it-systemer… II. Leverandøren er databehandler hvis adgang til kundens persondata III. Forordning tildeler databehandleren en mere aktiv rolle og flere forpligtelser end Persondataloven IV. Væsentligt skærpede sanktioner for både dataansvarlige og databehandlere ved manglende compliance => Databehandleraftalen – den nye kampplads i kontraktforhandlinger.. Side 56
Kundens overvejelser ved valg af dataansvarlig
● Den dataansvarlige må alene benytte databehandlere, der giver fornødne garantier vedrørende beskyttelse af den dataansvarliges oplysninger ● Risikoanalyse skal i nødvendigt omfang også omfatte databehandlerens forhold => Behov for "due dilligence": Den dataansvarlige bør aktivt spørge ind til, og om fornødent kontrollere og sikre sig dokumentation for, hvordan databehandleren behandler den dataansvarliges persondata, inden aftaleindgåelsen! Side 58
Kundens ansvar for databehandlerens forhold
● Yderligere grunde for kunden til at se sig for:  Den dataansvarlige hæfter solidarisk med databehandleren over for de registrerede for databehandlerens manglende overholdelse af reglerne.  Den dataansvarlige kan ifalde bøder for databehandlerens behandling af personoplysninger Side 60
Krav til databehandleraftalen
 Genstanden for behandlingen og typen af personoplysninger  Varigheden af behandlingen  Hvilken form for behandling, der skal foretages og til hvilke(-t) formål  Hvilke kategorier af registrerede, som de behandlede personoplysninger vedrører  Den dataansvarliges rettigheder og forpligtelser Side 62 Krav til indhold (artikel 28, stk. 3) § § §
● At databehandleren kun må behandle personoplysningerne på baggrund af den dataansvarliges instruks ● At personer hos databehandleren, der er autoriserede til at behandle oplysningerne, er underlagt en fortrolighedsforpligtelse ● At databehandleren skal etablere passende sikkerhedsforanstaltninger ● At databehandleren overholder betingelserne i Forordningen om brug af underdatabehandlere Side 63
● At databehandleren skal bistå den dataansvarlige med at opfylde dennes forpligtelser over for de registrerede ● At databehandleren skal bistå den dataansvarlige med at sikre dennes overholdelse af forpligtelserne i Forordningens artikel 32-36 om bl.a. - sikkerhedsforanstaltninger - anmeldelse ved sikkerhedsbrud - udarbejdelse af risikoanalyser, herunder eventuelt en DPIA - eventuel konsultation med databeskyttelsesmyndighederne Side 64
● At databehandleren på den dataansvarliges anmodning og efter den dataansvarliges valg sletter eller returnerer de behandlede personoplysninger ved behandlingens ophør ● At databehandleren udleverer alle nødvendige informationer med henblik på, at den dataansvarlige kan dokumentere at behandlingen hos databehandleren lever op til forpligtelserne samt ● At databehandleren tillader og medvirker til kontrol og audits. ● At databehandleren har pligt til at informere den dataansvarlige, såfremt det er databehandler- ens opfattelse at en instruks er ulovlig. Side 65
Standarddatabehandleraftale?
● Kundens standardaftale vs. Leverandørens standardaftale? - "Battle of forms" - Behov for grundig gennemgang; compliance, fordeling af ansvar og forpligtelser - Væsentligt forhandlingstema ● Model contractual clauses? - Forordningens artikel 28, stk. 7 og 8: Kommissionen eller nationale tilsynsmyndigheder kan vedtage standardkontraktbestemmelser - Uvist om hjemmel vil blive udnyttet - Forsigtigt bud: Nok ikke..? - Brancheaftaler – ITB m.fl. Side 67
Underdatabehandlere
Underdatabehandlere og "under-under databehandlere": Side 69 Dataansvarlig Databehandler Underdatabehandler Underdatabehandler Underdatabehandler
● ’Underdatabehandlere’- begreb: − ’Underleverandører’ til databehandleren − Underdatabehandlere er også databehandler for den dataansvarlige • Uagtet der ikke måtte være et direkte leverandørforhold • Er der ikke et direkte leverandørforhold, er databehandleren ansvarlig overfor den dataansvarlige i relation til underdatabehandlerens misligholdelse ● Brug af underdatabehandlere kræver samtykke fra den dataansvarlige Side 70
− Der skal indgås en (under-)databehandleraftale med underdatabehandleren − Skal være på back-to-back vilkår: − Hele vejen ned igennem "kæden" Side 71
Hvordan håndteres eksisterende databehandleraftaler?
Behov for nye aftaler? ● Eksisterende databehandleraftaler bortfalder ikke automatisk ● Hvis databehandleraftalen ikke overholder Forordningens krav, vil det være en overtrædelse af Forordningen (uanset om selve behandlingen overholder reglerne) ● Manglende opdatering vil være en skærpende omstændighed ved vurderingen af erstatnings- og bødeansvar i tilfælde af f.eks. et sikkerhedsbrud. Side 73
Behov for nye aftaler? Både kunder og leverandører bør gennemgå deres kontrakter fra før Forordningens ikrafttrædelse og får foretaget de nødvendige opdateringer, så kontrakterne overholder Forordningen! Nye aftaler bør tage højde for Forordningens krav! Side 74
Hvad er kravene til kontrol og audits?
Hvad er kravene til kontrol og audits? ● Den dataansvarlige skal være i stand til at dokumentere, at behandling af personoplysninger, som foretages af eller for den dataansvarlige, er i overensstemmelse med Forordningen. Side 76 Behov for præcise og operationelle vilkår, der sætter den dataansvarlige i stand til over for tilsynsmyndighederne at demonstrere, at tekniske og organisatoriske sikkerhedsforanstaltninger overholdes.
● Herudover bør den dataansvarlige sikre sig, at - databehandleren løbende tester og evaluerer effektiviteten af sikkerhedsforanstaltningerne, og - stiller dokumentation for resultatet af sådanne tests til rådighed for den dataansvarlige. ● Tillige behov for regulering af: - hvordan databehandleren skal medvirke ved kontrol og audits - hvilke varsler der skal gives - om, og i givet fald hvordan, databehandleren skal betales for at medvirke Side 77
Regulering og håndtering af sikkerhedsbrud
● Databehandleren skal bistå den dataansvarlige med at overholde forpligtelserne i Forordningen om anmeldelse ved sikkerhedsbrud og eventuel konsultation med databeskyttelsesmyndighederne ● Pligten skal eksplicit fremgå af databehandleraftalen, jf. artikel 28, stk. 3, litra f Side 79
Fordeling af ansvar for krav på er- statning fra registrede og bøder
Aftalefrihed? ● Kan kunde og leverandør frit aftale fordeling af ansvaret og ansvarsbegrænsninger ved f.eks. sikkerhedsbrud eller tilsidesættelse af registreredes rettigheder? ● Eksempel: "Leverandørens ansvar, herunder for krav fra tredjemand, som følge af manglende overholdelse af databehandleraftalen, er begrænset til 1 mio. DKK. Kunden skal skadesløsholde Leverandøren for ethvert krav fra tredjemand, der overstiger dette beløb." Side 81
Aftalefrihed? ● Erstatning til registrerede?: Nej, jf. artikel 88, stk. 5 ● Erstatning for kundens egne tab (f.eks. internt tidsforbrug og eksterne konsulenter): Ja ● Bøder? Nej, DL 5-1-2 (aftaler i strid med lov og ærbarhed) Side 82
Hvis du vil vide mere: "Persondataforordningen – en håndbog for praktikere"  Side 83
Thank you Advokat, partner Jesper Langemark Telefon: 22 26 20 02 Mail: jesper.langemark@twobirds.com BIRD & BIRD ADVOKATPARTNERSELSKAB Bird & Bird Advokatpartnerselskab er et registreret selskab i Danmark under CVR-nr. 35 14 45 01. Alle vores advokater er medlem af Advokatsamfundet og underlagt de advokatetiske regler fra Advokatrådet. Reglerne er tilgængelige her: www.advokatsamfundet.dk. BIRD & BIRD Bird & Bird LLP, er et registreret partnerskab, registreret i England og Wales under registreringsnummer OC340318, der er autoriseret og underlagt Solicitors Regulation Authority, og dets regler og retningslinier der er tilgængelige her: sra.org.uk/handbook/ For yderligere information om Bird & Bird internationalt, herunder Bird & Bird LLP, dets filialer og associerede selskaber (samlet benævnt ”Bird & Bird”), vores kontorer, ansatte, partnere og rådgivningsområder, brug af e-mails og regulatoriske forhold, se vores website på twobirds.com og navnlig ”Legal Notices”.

Recommended

Komfo Seminar - GDPR and cyber security (Part 2)
Komfo Seminar - GDPR and cyber security (Part 2)Komfo Seminar - GDPR and cyber security (Part 2)
Komfo Seminar - GDPR and cyber security (Part 2)
Komfo
 
General Data Protection Regulation by Bird & Bird
General Data Protection Regulation by Bird & BirdGeneral Data Protection Regulation by Bird & Bird
General Data Protection Regulation by Bird & Bird
Adapt
 
Det lægger google vægt på i 2017
Det lægger google vægt på i 2017Det lægger google vægt på i 2017
Det lægger google vægt på i 2017
Peytz & Co
 
Mind Map Oplæg
Mind Map OplægMind Map Oplæg
Mind Map Oplæg
Jens Poder
 
Digital forretningsudvikling i praksis
Digital forretningsudvikling i praksisDigital forretningsudvikling i praksis
Digital forretningsudvikling i praksis
Peytz & Co
 
Tre prisvindende wordpress sites fortæller
Tre prisvindende wordpress sites fortællerTre prisvindende wordpress sites fortæller
Tre prisvindende wordpress sites fortæller
Peytz & Co
 
Få styr på dit indhold
Få styr på dit indholdFå styr på dit indhold
Få styr på dit indhold
Peytz & Co
 
Få google til at elske dit site kbh 23.02.17
Få google til at elske dit site kbh 23.02.17Få google til at elske dit site kbh 23.02.17
Få google til at elske dit site kbh 23.02.17
Peytz & Co
 

Recommended

Komfo Seminar - GDPR and cyber security (Part 2)
Komfo Seminar - GDPR and cyber security (Part 2)Komfo Seminar - GDPR and cyber security (Part 2)
Komfo Seminar - GDPR and cyber security (Part 2)
Komfo
 
General Data Protection Regulation by Bird & Bird
General Data Protection Regulation by Bird & BirdGeneral Data Protection Regulation by Bird & Bird
General Data Protection Regulation by Bird & Bird
Adapt
 
Det lægger google vægt på i 2017
Det lægger google vægt på i 2017Det lægger google vægt på i 2017
Det lægger google vægt på i 2017
Peytz & Co
 
Mind Map Oplæg
Mind Map OplægMind Map Oplæg
Mind Map Oplæg
Jens Poder
 
Digital forretningsudvikling i praksis
Digital forretningsudvikling i praksisDigital forretningsudvikling i praksis
Digital forretningsudvikling i praksis
Peytz & Co
 
Tre prisvindende wordpress sites fortæller
Tre prisvindende wordpress sites fortællerTre prisvindende wordpress sites fortæller
Tre prisvindende wordpress sites fortæller
Peytz & Co
 
Få styr på dit indhold
Få styr på dit indholdFå styr på dit indhold
Få styr på dit indhold
Peytz & Co
 
Få google til at elske dit site kbh 23.02.17
Få google til at elske dit site kbh 23.02.17Få google til at elske dit site kbh 23.02.17
Få google til at elske dit site kbh 23.02.17
Peytz & Co
 
ACI gdpr præsentation
ACI gdpr præsentationACI gdpr præsentation
ACI gdpr præsentation
J Hartig
 
GDPR for GlobalNetwork
GDPR for GlobalNetworkGDPR for GlobalNetwork
GDPR for GlobalNetwork
Kåre Rude Andersen
 
GDPR og Cloud - Infowise
GDPR og Cloud - InfowiseGDPR og Cloud - Infowise
GDPR og Cloud - Infowise
Oliver O'loughlin
 
KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen
KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen
KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen
Komfo
 
Implementering af databeskyttelsesforordningen i københavns kommune
Implementering af databeskyttelsesforordningen i københavns kommuneImplementering af databeskyttelsesforordningen i københavns kommune
Implementering af databeskyttelsesforordningen i københavns kommune
LFF - Landsforeningen til bevaring af foto og film
 
RiskPoint præsentatin - CyberForsikring 2017
RiskPoint præsentatin - CyberForsikring 2017RiskPoint præsentatin - CyberForsikring 2017
RiskPoint præsentatin - CyberForsikring 2017
J Hartig
 
Muligheder for sikker cloud computing
Muligheder for sikker cloud computingMuligheder for sikker cloud computing
Muligheder for sikker cloud computing
Lars Neupart
 
GDPR for CIOs i praksis
GDPR for CIOs i praksisGDPR for CIOs i praksis
GDPR for CIOs i praksis
Microsoft
 
Databeskyttelse gennem design
Databeskyttelse gennem designDatabeskyttelse gennem design
Databeskyttelse gennem design
InfinIT - Innovationsnetværket for it
 
KL: Databeskyttelsesforordningen
KL: DatabeskyttelsesforordningenKL: Databeskyttelsesforordningen
KL: Databeskyttelsesforordningen
COK
 
Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018
Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018
Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018
Peytz & Co
 
Er du klar til persondataforordningens?
Er du klar til persondataforordningens?Er du klar til persondataforordningens?
Er du klar til persondataforordningens?
Peter Svane Andreasen
 
Saas, ASP og Cloud aftaler
Saas, ASP og Cloud aftalerSaas, ASP og Cloud aftaler
Saas, ASP og Cloud aftaler
Peter Lind Nielsen
 
TDC Perspektiv - Tema om IT-Sikkerhed
TDC Perspektiv - Tema om IT-SikkerhedTDC Perspektiv - Tema om IT-Sikkerhed
TDC Perspektiv - Tema om IT-SikkerhedJonas de Place
 
Bliv compliant med persondataforordningen – København, 24. oktober
Bliv compliant med persondataforordningen – København, 24. oktoberBliv compliant med persondataforordningen – København, 24. oktober
Bliv compliant med persondataforordningen – København, 24. oktober
Peytz & Co
 
Nyhedsbrev nr. 2, 2016 12 Spm. fra Datatilsynet
Nyhedsbrev nr. 2, 2016 12 Spm. fra DatatilsynetNyhedsbrev nr. 2, 2016 12 Spm. fra Datatilsynet
Nyhedsbrev nr. 2, 2016 12 Spm. fra DatatilsynetAnn Bruun Birk
 
Firstmover & datavogter (1)
Firstmover & datavogter (1)Firstmover & datavogter (1)
Firstmover & datavogter (1)
DanskeMarked.dk
 
borsen_2015-10-06 VL 84
borsen_2015-10-06 VL 84borsen_2015-10-06 VL 84
borsen_2015-10-06 VL 84Karl Peter Vilandt
 
VidenDanmark seminar: Erik Arndal Nielsen AC børnehjælp 310311
VidenDanmark seminar: Erik Arndal Nielsen AC børnehjælp 310311VidenDanmark seminar: Erik Arndal Nielsen AC børnehjælp 310311
VidenDanmark seminar: Erik Arndal Nielsen AC børnehjælp 310311
VidenDanmark
 
IT Anvendelse i virksomheder 2015 - DK Statistik
IT Anvendelse i virksomheder 2015 - DK StatistikIT Anvendelse i virksomheder 2015 - DK Statistik
IT Anvendelse i virksomheder 2015 - DK StatistikCarsten Brock
 
Lær at lave leads med LinkedIn – Peytz & Co Morgeninspiration
Lær at lave leads med LinkedIn – Peytz & Co MorgeninspirationLær at lave leads med LinkedIn – Peytz & Co Morgeninspiration
Lær at lave leads med LinkedIn – Peytz & Co Morgeninspiration
Peytz & Co
 
GDPR Release Party Peytz & Co
GDPR Release Party Peytz & CoGDPR Release Party Peytz & Co
GDPR Release Party Peytz & Co
Peytz & Co
 

More Related Content

Similar to EU's Persondataforordning i det daglige arbejde

ACI gdpr præsentation
ACI gdpr præsentationACI gdpr præsentation
ACI gdpr præsentation
J Hartig
 
GDPR for GlobalNetwork
GDPR for GlobalNetworkGDPR for GlobalNetwork
GDPR for GlobalNetwork
Kåre Rude Andersen
 
GDPR og Cloud - Infowise
GDPR og Cloud - InfowiseGDPR og Cloud - Infowise
GDPR og Cloud - Infowise
Oliver O'loughlin
 
KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen
KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen
KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen
Komfo
 
Implementering af databeskyttelsesforordningen i københavns kommune
Implementering af databeskyttelsesforordningen i københavns kommuneImplementering af databeskyttelsesforordningen i københavns kommune
Implementering af databeskyttelsesforordningen i københavns kommune
LFF - Landsforeningen til bevaring af foto og film
 
RiskPoint præsentatin - CyberForsikring 2017
RiskPoint præsentatin - CyberForsikring 2017RiskPoint præsentatin - CyberForsikring 2017
RiskPoint præsentatin - CyberForsikring 2017
J Hartig
 
Muligheder for sikker cloud computing
Muligheder for sikker cloud computingMuligheder for sikker cloud computing
Muligheder for sikker cloud computing
Lars Neupart
 
GDPR for CIOs i praksis
GDPR for CIOs i praksisGDPR for CIOs i praksis
GDPR for CIOs i praksis
Microsoft
 
Databeskyttelse gennem design
Databeskyttelse gennem designDatabeskyttelse gennem design
Databeskyttelse gennem design
InfinIT - Innovationsnetværket for it
 
KL: Databeskyttelsesforordningen
KL: DatabeskyttelsesforordningenKL: Databeskyttelsesforordningen
KL: Databeskyttelsesforordningen
COK
 
Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018
Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018
Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018
Peytz & Co
 
Er du klar til persondataforordningens?
Er du klar til persondataforordningens?Er du klar til persondataforordningens?
Er du klar til persondataforordningens?
Peter Svane Andreasen
 
Saas, ASP og Cloud aftaler
Saas, ASP og Cloud aftalerSaas, ASP og Cloud aftaler
Saas, ASP og Cloud aftaler
Peter Lind Nielsen
 
TDC Perspektiv - Tema om IT-Sikkerhed
TDC Perspektiv - Tema om IT-SikkerhedTDC Perspektiv - Tema om IT-Sikkerhed
TDC Perspektiv - Tema om IT-SikkerhedJonas de Place
 
Bliv compliant med persondataforordningen – København, 24. oktober
Bliv compliant med persondataforordningen – København, 24. oktoberBliv compliant med persondataforordningen – København, 24. oktober
Bliv compliant med persondataforordningen – København, 24. oktober
Peytz & Co
 
Nyhedsbrev nr. 2, 2016 12 Spm. fra Datatilsynet
Nyhedsbrev nr. 2, 2016 12 Spm. fra DatatilsynetNyhedsbrev nr. 2, 2016 12 Spm. fra Datatilsynet
Nyhedsbrev nr. 2, 2016 12 Spm. fra DatatilsynetAnn Bruun Birk
 
Firstmover & datavogter (1)
Firstmover & datavogter (1)Firstmover & datavogter (1)
Firstmover & datavogter (1)
DanskeMarked.dk
 
VidenDanmark seminar: Erik Arndal Nielsen AC børnehjælp 310311
VidenDanmark seminar: Erik Arndal Nielsen AC børnehjælp 310311VidenDanmark seminar: Erik Arndal Nielsen AC børnehjælp 310311
VidenDanmark seminar: Erik Arndal Nielsen AC børnehjælp 310311
VidenDanmark
 
IT Anvendelse i virksomheder 2015 - DK Statistik
IT Anvendelse i virksomheder 2015 - DK StatistikIT Anvendelse i virksomheder 2015 - DK Statistik
IT Anvendelse i virksomheder 2015 - DK StatistikCarsten Brock
 

Similar to EU's Persondataforordning i det daglige arbejde (20)

ACI gdpr præsentation
ACI gdpr præsentationACI gdpr præsentation
ACI gdpr præsentation
 
GDPR for GlobalNetwork
GDPR for GlobalNetworkGDPR for GlobalNetwork
GDPR for GlobalNetwork
 
GDPR og Cloud - Infowise
GDPR og Cloud - InfowiseGDPR og Cloud - Infowise
GDPR og Cloud - Infowise
 
KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen
KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen
KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen
 
Implementering af databeskyttelsesforordningen i københavns kommune
Implementering af databeskyttelsesforordningen i københavns kommuneImplementering af databeskyttelsesforordningen i københavns kommune
Implementering af databeskyttelsesforordningen i københavns kommune
 
RiskPoint præsentatin - CyberForsikring 2017
RiskPoint præsentatin - CyberForsikring 2017RiskPoint præsentatin - CyberForsikring 2017
RiskPoint præsentatin - CyberForsikring 2017
 
Muligheder for sikker cloud computing
Muligheder for sikker cloud computingMuligheder for sikker cloud computing
Muligheder for sikker cloud computing
 
GDPR for CIOs i praksis
GDPR for CIOs i praksisGDPR for CIOs i praksis
GDPR for CIOs i praksis
 
Databeskyttelse gennem design
Databeskyttelse gennem designDatabeskyttelse gennem design
Databeskyttelse gennem design
 
KL: Databeskyttelsesforordningen
KL: DatabeskyttelsesforordningenKL: Databeskyttelsesforordningen
KL: Databeskyttelsesforordningen
 
Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018
Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018
Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018
 
Er du klar til persondataforordningens?
Er du klar til persondataforordningens?Er du klar til persondataforordningens?
Er du klar til persondataforordningens?
 
Saas, ASP og Cloud aftaler
Saas, ASP og Cloud aftalerSaas, ASP og Cloud aftaler
Saas, ASP og Cloud aftaler
 
TDC Perspektiv - Tema om IT-Sikkerhed
TDC Perspektiv - Tema om IT-SikkerhedTDC Perspektiv - Tema om IT-Sikkerhed
TDC Perspektiv - Tema om IT-Sikkerhed
 
Bliv compliant med persondataforordningen – København, 24. oktober
Bliv compliant med persondataforordningen – København, 24. oktoberBliv compliant med persondataforordningen – København, 24. oktober
Bliv compliant med persondataforordningen – København, 24. oktober
 
Nyhedsbrev nr. 2, 2016 12 Spm. fra Datatilsynet
Nyhedsbrev nr. 2, 2016 12 Spm. fra DatatilsynetNyhedsbrev nr. 2, 2016 12 Spm. fra Datatilsynet
Nyhedsbrev nr. 2, 2016 12 Spm. fra Datatilsynet
 
Firstmover & datavogter (1)
Firstmover & datavogter (1)Firstmover & datavogter (1)
Firstmover & datavogter (1)
 
borsen_2015-10-06 VL 84
borsen_2015-10-06 VL 84borsen_2015-10-06 VL 84
borsen_2015-10-06 VL 84
 
VidenDanmark seminar: Erik Arndal Nielsen AC børnehjælp 310311
VidenDanmark seminar: Erik Arndal Nielsen AC børnehjælp 310311VidenDanmark seminar: Erik Arndal Nielsen AC børnehjælp 310311
VidenDanmark seminar: Erik Arndal Nielsen AC børnehjælp 310311
 
IT Anvendelse i virksomheder 2015 - DK Statistik
IT Anvendelse i virksomheder 2015 - DK StatistikIT Anvendelse i virksomheder 2015 - DK Statistik
IT Anvendelse i virksomheder 2015 - DK Statistik
 

More from Peytz & Co

Lær at lave leads med LinkedIn – Peytz & Co Morgeninspiration
Lær at lave leads med LinkedIn – Peytz & Co MorgeninspirationLær at lave leads med LinkedIn – Peytz & Co Morgeninspiration
Lær at lave leads med LinkedIn – Peytz & Co Morgeninspiration
Peytz & Co
 
GDPR Release Party Peytz & Co
GDPR Release Party Peytz & CoGDPR Release Party Peytz & Co
GDPR Release Party Peytz & Co
Peytz & Co
 
Jens Poders præsentation "Agil Brugerinddragelse i UX Design"
Jens Poders præsentation "Agil Brugerinddragelse i UX Design"Jens Poders præsentation "Agil Brugerinddragelse i UX Design"
Jens Poders præsentation "Agil Brugerinddragelse i UX Design"
Peytz & Co
 
Julie Schramm Rasmussens slides "5 myter om brugerinddragelse"
Julie Schramm Rasmussens slides "5 myter om brugerinddragelse"Julie Schramm Rasmussens slides "5 myter om brugerinddragelse"
Julie Schramm Rasmussens slides "5 myter om brugerinddragelse"
Peytz & Co
 
Succes med Design Sprint
Succes med Design SprintSucces med Design Sprint
Succes med Design Sprint
Peytz & Co
 
Erfaringer fra Design Sprint - sådan får din virksomhed mest ud af dem
Erfaringer fra Design Sprint - sådan får din virksomhed mest ud af demErfaringer fra Design Sprint - sådan får din virksomhed mest ud af dem
Erfaringer fra Design Sprint - sådan får din virksomhed mest ud af dem
Peytz & Co
 
Morgeninspiration: Aktuelle digitale tendenser – strategisk, taktisk og teknisk
Morgeninspiration: Aktuelle digitale tendenser – strategisk, taktisk og teknisk Morgeninspiration: Aktuelle digitale tendenser – strategisk, taktisk og teknisk
Morgeninspiration: Aktuelle digitale tendenser – strategisk, taktisk og teknisk
Peytz & Co
 
Derfor lever googles design sprint op til hypen
Derfor lever googles design sprint op til hypenDerfor lever googles design sprint op til hypen
Derfor lever googles design sprint op til hypen
Peytz & Co
 
2018 02-21 Gør din email marketing personlig
2018 02-21 Gør din email marketing personlig2018 02-21 Gør din email marketing personlig
2018 02-21 Gør din email marketing personlig
Peytz & Co
 
2018 02-21 rejsen mod marketing automation
2018 02-21 rejsen mod marketing automation 2018 02-21 rejsen mod marketing automation
2018 02-21 rejsen mod marketing automation
Peytz & Co
 
Det lægger Google og Facebook vægt på i 2018 - februar 2018
Det lægger Google og Facebook vægt på i 2018 - februar 2018Det lægger Google og Facebook vægt på i 2018 - februar 2018
Det lægger Google og Facebook vægt på i 2018 - februar 2018
Peytz & Co
 
Effektiv digital strategi – januar 2018
Effektiv digital strategi – januar 2018Effektiv digital strategi – januar 2018
Effektiv digital strategi – januar 2018
Peytz & Co
 
Syv siteimprove hacks, der gør dit liv lettere
Syv siteimprove hacks, der gør dit liv lettereSyv siteimprove hacks, der gør dit liv lettere
Syv siteimprove hacks, der gør dit liv lettere
Peytz & Co
 
Hvem er mine kunder og hvor fanger jeg dem bedst
Hvem er mine kunder og hvor fanger jeg dem bedstHvem er mine kunder og hvor fanger jeg dem bedst
Hvem er mine kunder og hvor fanger jeg dem bedst
Peytz & Co
 
Bliv klar til et nyt website
Bliv klar til et nyt websiteBliv klar til et nyt website
Bliv klar til et nyt website
Peytz & Co
 
Internet of Things. Morgeninspiration Juni 2017
Internet of Things. Morgeninspiration Juni 2017Internet of Things. Morgeninspiration Juni 2017
Internet of Things. Morgeninspiration Juni 2017
Peytz & Co
 
Omnichannel i praksis
Omnichannel i praksisOmnichannel i praksis
Omnichannel i praksis
Peytz & Co
 
Digital strategi morgeninspiration - 18. maj 2017
Digital strategi morgeninspiration - 18. maj 2017Digital strategi morgeninspiration - 18. maj 2017
Digital strategi morgeninspiration - 18. maj 2017
Peytz & Co
 
Lækkert digitalt design - Morgeninspiration i Kbh 09. maj 2017
Lækkert digitalt design - Morgeninspiration i Kbh 09. maj 2017Lækkert digitalt design - Morgeninspiration i Kbh 09. maj 2017
Lækkert digitalt design - Morgeninspiration i Kbh 09. maj 2017
Peytz & Co
 
Morgeninspiration 25.04.17 forstå dine brugere
Morgeninspiration 25.04.17 forstå dine brugereMorgeninspiration 25.04.17 forstå dine brugere
Morgeninspiration 25.04.17 forstå dine brugere
Peytz & Co
 

More from Peytz & Co (20)

Lær at lave leads med LinkedIn – Peytz & Co Morgeninspiration
Lær at lave leads med LinkedIn – Peytz & Co MorgeninspirationLær at lave leads med LinkedIn – Peytz & Co Morgeninspiration
Lær at lave leads med LinkedIn – Peytz & Co Morgeninspiration
 
GDPR Release Party Peytz & Co
GDPR Release Party Peytz & CoGDPR Release Party Peytz & Co
GDPR Release Party Peytz & Co
 
Jens Poders præsentation "Agil Brugerinddragelse i UX Design"
Jens Poders præsentation "Agil Brugerinddragelse i UX Design"Jens Poders præsentation "Agil Brugerinddragelse i UX Design"
Jens Poders præsentation "Agil Brugerinddragelse i UX Design"
 
Julie Schramm Rasmussens slides "5 myter om brugerinddragelse"
Julie Schramm Rasmussens slides "5 myter om brugerinddragelse"Julie Schramm Rasmussens slides "5 myter om brugerinddragelse"
Julie Schramm Rasmussens slides "5 myter om brugerinddragelse"
 
Succes med Design Sprint
Succes med Design SprintSucces med Design Sprint
Succes med Design Sprint
 
Erfaringer fra Design Sprint - sådan får din virksomhed mest ud af dem
Erfaringer fra Design Sprint - sådan får din virksomhed mest ud af demErfaringer fra Design Sprint - sådan får din virksomhed mest ud af dem
Erfaringer fra Design Sprint - sådan får din virksomhed mest ud af dem
 
Morgeninspiration: Aktuelle digitale tendenser – strategisk, taktisk og teknisk
Morgeninspiration: Aktuelle digitale tendenser – strategisk, taktisk og teknisk Morgeninspiration: Aktuelle digitale tendenser – strategisk, taktisk og teknisk
Morgeninspiration: Aktuelle digitale tendenser – strategisk, taktisk og teknisk
 
Derfor lever googles design sprint op til hypen
Derfor lever googles design sprint op til hypenDerfor lever googles design sprint op til hypen
Derfor lever googles design sprint op til hypen
 
2018 02-21 Gør din email marketing personlig
2018 02-21 Gør din email marketing personlig2018 02-21 Gør din email marketing personlig
2018 02-21 Gør din email marketing personlig
 
2018 02-21 rejsen mod marketing automation
2018 02-21 rejsen mod marketing automation 2018 02-21 rejsen mod marketing automation
2018 02-21 rejsen mod marketing automation
 
Det lægger Google og Facebook vægt på i 2018 - februar 2018
Det lægger Google og Facebook vægt på i 2018 - februar 2018Det lægger Google og Facebook vægt på i 2018 - februar 2018
Det lægger Google og Facebook vægt på i 2018 - februar 2018
 
Effektiv digital strategi – januar 2018
Effektiv digital strategi – januar 2018Effektiv digital strategi – januar 2018
Effektiv digital strategi – januar 2018
 
Syv siteimprove hacks, der gør dit liv lettere
Syv siteimprove hacks, der gør dit liv lettereSyv siteimprove hacks, der gør dit liv lettere
Syv siteimprove hacks, der gør dit liv lettere
 
Hvem er mine kunder og hvor fanger jeg dem bedst
Hvem er mine kunder og hvor fanger jeg dem bedstHvem er mine kunder og hvor fanger jeg dem bedst
Hvem er mine kunder og hvor fanger jeg dem bedst
 
Bliv klar til et nyt website
Bliv klar til et nyt websiteBliv klar til et nyt website
Bliv klar til et nyt website
 
Internet of Things. Morgeninspiration Juni 2017
Internet of Things. Morgeninspiration Juni 2017Internet of Things. Morgeninspiration Juni 2017
Internet of Things. Morgeninspiration Juni 2017
 
Omnichannel i praksis
Omnichannel i praksisOmnichannel i praksis
Omnichannel i praksis
 
Digital strategi morgeninspiration - 18. maj 2017
Digital strategi morgeninspiration - 18. maj 2017Digital strategi morgeninspiration - 18. maj 2017
Digital strategi morgeninspiration - 18. maj 2017
 
Lækkert digitalt design - Morgeninspiration i Kbh 09. maj 2017
Lækkert digitalt design - Morgeninspiration i Kbh 09. maj 2017Lækkert digitalt design - Morgeninspiration i Kbh 09. maj 2017
Lækkert digitalt design - Morgeninspiration i Kbh 09. maj 2017
 
Morgeninspiration 25.04.17 forstå dine brugere
Morgeninspiration 25.04.17 forstå dine brugereMorgeninspiration 25.04.17 forstå dine brugere
Morgeninspiration 25.04.17 forstå dine brugere
 

EU's Persondataforordning i det daglige arbejde

  • 2. EU-persondataforordningen – væsentligste ændringer og praktiske konsekvenser for virksomheder Netværksmøde den 9. februar 2017 Advokat, partner Jesper Langemark
  • 3. Velkommen ● 8.55 : Vi sætter os ned (ikke før) ● 9:00: Velkommen ved Claus Sølvsteen, Peytz ● 9:05: Jesper Langemark, Bird & Bird ● 9:45: Et kvarters pause ● 10:45: Tak for i dag Side 3
  • 4. Om Bird & Bird ● 28 kontorer i 21 lande ● 2 kontorer i Danmark ● 1.200 advokater ● International Privacy & Data Protection Group Side 4
  • 5. Agenda 1. Forordningen i helikopterperspektiv 2. Sanktioner 3. Forordningens nye dokumentationskrav 4. Nye, skærpede sikkerhedskrav 5. Data Protection Officers 6. Hvordan gribes compliance arbejdet an? 7. Databehandleraftaler 8. Quiz  Side 5
  • 6. Overblik over forordningen ● Afløser den 16 år gamle persondatalov ● Finder anvendelse fra den 25. maj 2018 ● Udvider beskyttelsen af personlige oplysninger ● Udvider virksomhedernes forpligtelser ● Indfører nye rettigheder − "The right to be forgotten", forbud mod automatisk profilering, dataportabilitet, m.fl. ● Skærpet bødeniveau Side 6
  • 7. A quick comparison… Page 7 291% increase 240 % increase 240 % increase From local to global From member states to Europe DP Directive 95/46/EC General DP Regulation 34 articles 99 articles 72 recitals 173 recitals 8 definitions 19 definitions scope extends to local processing scope extends to global processing effective through national DP Acts directly effective varied national guidance & enforcement centralized enforcement and guidance Enforcement patchy Fines of 4% worldwide turnover From little enforcement to a lot
  • 8. ”Top-10” over væsentligste ændringer 1. Udvidet territorialt anvendelsesområde 2. Skærpede krav til behandlingshjemmel 3. Nye dokumentationskrav 4. Styrkelse af de registreredes rettigheder 5. Privacy by design, privacy by default og krav om risikovurderinger 6. Pligt til udpegning af Data Protection Officer i visse tilfælde Side 8
  • 9. ”Top-10” - fortsat 7. Underretningspligt ved sikkerhedsbrud 8. Brug af databehandlere og krav til databehandlere 9. Overførsel til tredjelande 10. Håndhævelse, "one-stop shop" og sanktioner Side 9
  • 11. De skærpede sanktioner – nok den væsentligste konsekvens… ● Virksomheder behandler eksponentielt stigende mængder af personoplysninger ● Personoplysninger er for mange virksomheder et væsentligt aktiv og persondatabehandling afgørende for virksomhedens drift ● Den øgede datamængde og vigtigheden heraf for virksomhederne på den ene side og Forordningens skærpede sanktioner på den anden er i praksis den væsentligste konsekvens for virksomhederne; − Overholdelse af reglerne bliver forretningskritisk og dermed et ledelsesanliggende − Det bliver endvidere væsentligt for vurderingen af virksomhedens værdi – og et centralt tema i virksomhedshandler ● "Compliance by chance" is no longer an option! Side 11
  • 12. ● Erstatning − Alle, der lider tab som følge af en overtrædelse, kan kræve erstatning − Omvendt bevisbyrde! • Dataansvarlig eller databehandler kan/skal helt eller delvist fritages for erstatningsansvar, hvis de: – beviser, at de ikke er ansvarlige for hændelsen, der medførte skaden − Tab skal stadig bevises, men − 'Tort erstatning' for ikke økonomisk skade er en mulighed − Mulighed for gruppesøgsmål fra registrerede Side 12
  • 13. ● Bøder • Op til EUR 20m eller 4% af årlig globale omsætning – Afhængigt af hvad der er højest • Tage højde for: grovheden, skades størrelse, gentagelse m.v. • Niveauet er væsentligt forøget i forhold til tidligere • Sanktioner skal være afskrækkende • Ensartede i hele EU ● Bøder kan udstedes administrativt – dog ikke i Danmark Side 13
  • 15. Sanktioner Anmeldelse af sikkerhedsbrud til Datatilsynet − Uden ugrundet ophold og ikke senere end 72 timer ● Orientering til datasubjekterne − Hvor der er “høj risiko” for datasubjekterne − Uden ugrundet ophold Side 15
  • 16. Side 16 Hacker puts up 167 Million LinkedIn Passwords for Sale Wednesday, May 18, 2016 LinkedIn's 2012 data breach was much worse than anybody first thought. In 2012, LinkedIn suffered a massive data breach in which more than 6 Million users accounts login details, including encrypted passwords, were posted online by a Russian hacker. Now, it turns out that it was not just 6 Million users who got their login details stolen. http://thehackernews.com/2016/05/linkedin-account-hack.html
  • 17. Nye krav til dokumentation
  • 18. ● Anmeldelsessystemet afskaffes – ”prisen” er øgede krav til dokumentation, gennemsigtighed og egenkontrol ● Virksomhedens persondatabehandling skal dokumenteres! ● Den dataansvarlige skal opfylde to overordnede dokumentationskrav: 1. Dokumentere, at behandling af personoplysninger er i overensstemmelse med forordningens generelle principper 2. Dokumentere, at der er iværksat passende tekniske og organisatoriske foranstaltninger til beskyttelse af personoplysninger Side 18
  • 19. ● Hvordan? − 'fortegnelse' over behandlingsaktiviteter − Passende procedure for håndtering af de registreredes rettigheder − Udarbejdelse af intern persondatapolitik samt sikkerhedspolitik − Løbende ajourføring Side 19
  • 20. • Fortegnelsen over behandlingsaktiviteter skal indeholde oplysninger om: • Navn og kontaktoplysninger til: – Dataansvarlig(e), – Evt. DPO og evt. repræsentant • Formål med behandlingen • En beskrivelse af kategorier af datasubjekter og datatyper • Kategorier af datamodtagere • Overførsler til tredjelande • Tidsgrænser for sletning • Overordnet beskrivelse af teknisk og organisatorisk sikkerhed Også et krav for databehandlere, men mindre omfattende Side 20
  • 21. ● Den dataansvarlige skal have passende foranstaltninger (reelt procedurer), som sikrer håndteringen af: − Alle datasubjekternes rettigheder, bl.a.: • Orienteringspligt til datasubjekterne • Indsigtsret • Ret til berigtigelse • Indsigelsesret ● Henvendelser vedrørende rettigheder − Tidsfrist for besvarelse – uden unødigt ophold og inden 1 måned − Hvis ønske afvises • Begrundes • Klagemulighed og mulighed for retssag skal beskrives Side 21
  • 22. ● Almindelig risikovurdering og Data Protection Impact Assesment – skal dokumenteres → Bør altid foreligge skriftligt! (For DPIA et udtrykkeligt krav) ● Sikkerhedsbrud – skal også dokumenteres Side 22
  • 24. Artikel 22: Dataansvarlig skal implementere 'passende tekniske og organisatoriske sikkerhedsforanstaltninger' og kunne bevise dette overfor myndighederne. • En del af den øgede dokumentationspligt (til gengæld afskaffes anmeldelsespligten) − Hvad er passende? (afvejning mellem risiko, state of the art og omkostninger) Side 24
  • 25. ● Pligt til at foretage risikovurdering, dvs. en vurdering af risici forbundet med behandlingen • Persondataforordningens artikel 32, stk. 1: "Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici" ● Har altid skulle foretages! − Men ofte overset ● DPIA (Data Privacy Impact Assessment) − Særligt omfattende risikovurdering − Kræves, hvis der er særlige risici • Fx. brug af ny teknologi (cloud, big data m.v.), automatiseret behandling/profilering af økonomiske forhold eller følsomme oplysninger ● Leverandørens (databehandlerens) rolle ● Brug af sikkerhedsstandarder – ISO 27000-serien f.eks. Side 25
  • 27. Anmeldelse af brud på persondatasikkerhed ● Hvad er et brud på persondatasikkerheden? − "Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet." − Meget bred definition Side 27
  • 28. Anmeldelse af brud på persondatasikkerhed Eksempler: • Organisatorisk fejl – Adgang for personer uden behov • Menneskelige fejl – Offentliggørelse af personoplysninger på internettet som følge af fejl eller uvidenhed om, hvad der må offentliggøres, eller som følge af utilstrækkelig anonymisering mv. • Utilstrækkelige eller fejlbehæftede it-løsninger – Manglende kryptering af formularer på hjemmesider til brug for fremsendelse af følsomme oplysninger • Kriminelle handlinger – Hackerangreb – Identitetstyveri – Industrispionage eller terror Side 28
  • 29. Anmeldelse af brud på persondatasikkerhed Orientering til tilsynsmyndighederne  Uden ugrundet ophold og ikke senere end 72 timer  Redegøre for: • Sikkerhedsbruddets karakter • Konsekvenser af sikkerhedsbruddet • Hvordan skaden er/vil blive søgt begrænset af den dataansvarlige • Kontaktoplysninger på dataansvarlig (evt. DPO) • Dokumentere alle relevante forhold omkring sikkerhedsbruddet, så myndigheden kan vurdere, om forordningen er overholdt U: Usandsynligt at der er en risiko Side 29
  • 30. Anmeldelse af brud på persondatasikkerhed Orientering til datasubjekterne  Kun hvor der er høj risiko for datasubjekterne  Uden ugrundet ophold  Redegøre i letforståeligt sprog for: • Konsekvenser af sikkerhedsbruddet • Anbefalinger til hvordan datasubjektet kan begrænse skaden • Kontaktoplysninger til dataansvarlig (evt. DPO)  Ingen pligt, hvis: • Data er gjort ’uforståelige’ fx ved stærk kryptering • Den dataanvarlige har ‘fjernet’ risiko • Uforholdsmæssigt besværligt – Men så krav om offentlig kommunikation (fx. annoncer) Procedure for sikkerhedsbrud bør være del af sikkerhedspolitik Side 30
  • 31. Privacy by Design/Default ● By design − Alle nye teknologier, produkter og services, der behandler persondata, skal designes med persondatasikkerhed og overholdelse af forordningen in mente ● By default − Persondatabeskyttelse skal være udgangspunktet • Kun relevante data indsamles og behandles • Data kan ikke gemmes længere end nødvendigt • Kun relevante personer har adgang til data Side 31
  • 32. Privacy by Design/Default ● Eksisterende IT-løsninger − Understøttes privacy by design/default? − Hvis ikke - kan det bringes til at understøtte dette? • Hvilket arbejde/hvilke omkostninger er der forbundet med dette? • Hvor lang levetid har den pågældende it-løsning tilbage? ● Nye IT-løsninger − Sikre, at kommende IT understøtter privacy by design/default − Sikre, at de rigtige krav fremgår af kravsspecifikationer/løsningsbeskrivelse − Få dokumentation fra leverandør ● Redskaber til understøttelse af privay by design/default − Pseudonymisering − Kryptering − Systemopsætning/konfigurering − Instrukser/vejledninger Side 32
  • 34. ● Hvad er en Data Protection Officer ('DPO')? − Tilsyn med overholdelse af Persondataforordningen. − Krav til uddannelsesbaggrund – ekspertviden inden for databeskyttelse, herunder lovgivning og praksis. − Ansat eller tredjepart (kan deles) ● Har din virksomhed brug for en DPO? − Hvis offentlig virksomhed. − Hvis din virksomheds "kerneaktivitet" består i behandling af personoplysninger: • Der har en sådan karakter eller et sådant formål at den kræver regelmæssig og systematisk overvågning af datasubjekter i stort omfang. • Af følsom karakter eller strafbare oplysninger i stort omfang. Side 34
  • 35. Data Protection Officers ● Ansat eller tredjepart − Kan ’deles’ mellem flere myndigheder/virksomheder f.eks. kan en koncern udpege en fælles DPO ● Uafhængig − Må ikke have ’interessekonflikter’ i stillingen (kan blive svært!) − Må ikke modtage ordrer vedr. dennes opgaver − Kan ikke blive afskediget eller straffet for udførelse af sine opgaver) ● Rapporterer direkte til ledelse ● Kan have andre opgaver (kun hvis ingen interessekonflikt) ● Skal udpeges på grundlag af faglige kvalifikationer, herunder særligt ekspertviden indenfor databeskyttelseslovgivning og praksis Side 35
  • 36. Data Protection Officers ● DPO’ens job (minimumskrav) − Deltage i alle spørgsmål vedrørende persondatabehandling − Øge vidensniveau hos arbejdsgiver om persondatabeskyttelse (awareness) − Kontaktperson for myndigheder og datasubjekter − Tilsyn med overholdelse af forordning (compliance) − Tilsyn med implementering og overholdelse af • Politikker, procedurer • Sikkerhedskrav/risikovurderinger (+DPIA) • Sikre dokumentation Side 36
  • 38. Hvorfor gå i gang nu? ● Der er 16 måneder til Forordningen træder i kraft! − Der bliver nok at se til! • Særligt hvis der ikke allerede er helt styr på persondatabehandlingen! − Compliance har betydning for virksomhedens værdi • Og image udadtil! − Compliance er tidskrævende • Og der kan dukke ubehagelige overraskelser op undervejs! Side 38
  • 39. Side 39 Dansk industris vejledning - Persondataforordning en – implementering i danske virksomheder
  • 40. Organisation ● Nedsæt en arbejdsgruppe − Deltagelse fra alle relevante afdelinger – jura, forretning, it, HR − Afhængigt af virksomheden størrelse − Ansvarlige for at bringe virksomheden i compliance ● Inkludér DPO’en / sørg for ledelsesforankring! Side 40
  • 41. Mapping af persondata ● De færreste virksomheder har fuldt overblik over hvilke persondata de behandler pt. ● Skab overblik/udarbejd en fortegnelse over: − Hvilke persondata I indsamler og behandler • HR, salgs- og markedsføringsafdelinger er ’usual suspects’ • Er der følsomme data iblandt? • Er der ustrukturerede data? • IT-afdeling er et godt sted at starte – de har overblik over systemer • ’Interviews’ af nøglepersoner i alle afdelinger − Til hvilke formål I behandler de enkelte datatyper? Side 41
  • 42. Mapping af persondata − Hvem er datasubjekterne, og antallet af datasubjekter? − Hvorfra er datene indsamlet? • Datasubjekt • Tredjemand • Internettet − Videregives data? − Hvilken hjemmel ligger til grund for behandlingen, herunder eventuelt videregivelsen? − Er data stadig relevante/ajour? Side 42
  • 43. Mapping af persondata − Hvor behandles data? • Internt? • Databehandlere? – Er alle databehandleraftaler på plads (og hvor findes de?) − Er der overførsler til tredjelande? • Hvorfor overføres til tredjeland? – Til anden dataansvarlig? – Til databehandlere? Side 43
  • 44. Mapping af persondata − Behandler I data for andre? (Dvs. I er databehandlere) • Har I styr på alle databehandleraftaler? • Skal de opdateres? (sandsynligvis) • Overholder I kravene i databehandleraftalerne? • Har I tredjemandsdata liggende, som reelt skulle have været slettet? − Dataflowsdiagrammer kan være nyttige − Indhent nødvendige eksisterende anmeldelser/tilladelser fra databeskyttelsesmyndigheder. • Selv om forordningen afskaffer anmeldelsespligten, vil anmeldelserne være nyttige. − Billedet ændrer sig løbende! • Orientere ansatte om arbejdsgruppen/DPO • Pligt til at orientere arbejdsgruppen/DPO – ’Opdagelse’ af flere persondata – Iværksættelse af projekter, som er persondata-relevante Side 44
  • 45. Politikker / Procedurer ● Eksterne − Findes der en privacy policy? • Er den relevant for alle/nogle indsamlinger af data? • Up-to-date? • Er den forståelig for målgruppen? ● Internt − Er der en overordnet privacy policy ? • Er der en for hver behandlingsområde, som foretages? – Fx markedsføring og HR − Er der udarbejdet en fortegnelse over behandlinger? − Er der procedurer for håndtering af datasubjekters rettigheder? • Ellers bør disse laves Side 45
  • 46. Orientering af datasubjekter ● Informeres datasubjekter om indsamlingen/ behandlingen? − Kræves opdatering? − Kan det dokumenteres? • Gem tidligere udgaver. ● Samtykke − Identificer eventuelle manglende oplysninger, der kræves i henhold til forordningen − Kan det dokumenteres? • Gem tidligere udgaver • Registrer hvilken udgave, der er samtykket til Side 46
  • 47. Sikkerhed ● Få overblik over virksomhedens sikkerhed − Findes der en sikkerhedspolitik? • Stadig up-to-date? Eller skal der startes helt fra bunden? − Er der lavet risikovurderinger? • Er de dokumenteret – eller skal de laves? • Er der behov for, at der laves DPIA? − Er der en procedure for udførelse af risikovurderinger/DPIA? − Er der en procedure for håndtering af sikkerhedsbrud? − Husk, at sikkerhed er ikke kun fysisk og teknisk, men i høj grad også organisatorisk! • Mapping af, hvem der har adgang til hvilke data, hvorfor, og er det relevant? Side 47
  • 48. Privacy by Design/Default ● Eksisterende IT-løsninger − Understøttes privacy by design/default? − Hvis ikke - kan det bringes til at understøtte dette? • Hvilket arbejde/hvilke omkostninger er der forbundet med dette? • Hvor lang levetid har den pågældende IT tilbage? ● Redskaber til understøttelse af privacy by design/default • Pseudonymisering • Kryptering Side 48
  • 49. Privacy by Design/Default ● Nye IT-løsninger − Sikre, at kommende IT understøtter privacy by design/default − Kontrollere, at det fremgår af kravsspec./løsningsbeskrivelse − Få dokumentation fra leverandør Side 49
  • 50. Databehandlere ● Bruges databehandlere? − Hvordan er databehandleraftalerne udformet? • Sikrer de jer som dataansvarlig på fornøden vis? • Skal de opdateres for at leve op til forordningens krav? • Bruges ’standardteksten’ fra Datatilsynets hjemmeside? − Hvilke sikkerhedskrav skal stilles til databehandlere? • Om muligt, skal databehandlere overholde samme politik som virksomheden selv • Hvis ikke – hvordan skal ’gaps’ håndteres? − Overholder databehandlerne sikkerhedskravene? • Har I en tilsynsret? – Indhent årlig revisionsrapport – Overvej at foretag inspektion Side 50
  • 51. Overførsler til tredjelande ● Har I de nødvendige aftaler på plads? − Safe Harbor • OBS! Ordningen er erklæret ugyldig – Find nyt hjemmelsgrundlag fx SCC, BCR eller samtykke • Ny aftale vedtaget og godkendt af Kommisionen - Privacy Shield − SCC • Kan I leve op til vilkårene? – Vær opmærksom på at det ikke er muligt at foretage materielle ændringer • Nye SCC'er ? Side 51
  • 52. Awareness ● Planlæg undervisning af medarbejdere − Generelt om persondata, og hvorfor det skal respekteres − I politikker/procedurer − Relevante sikkerhedsforhold • også organisatorisk ● Intern bevidsthed og kommunikation ● Opgave for DPO Side 52
  • 53. Forslag til compliance projektets faser Side 53 1. Opstart 2. Analyse 3. Løsningsbeskrivelse 4. Implementering 5. Drift
  • 55. Dataansvarlig eller databehandler? − Dataansvarlig: Afgør til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger. − Databehandler: Behandler personoplysninger på dataansvarliges vegne. • Behandler aldrig data til egne formål − Minder om et 'arbejdsgiver – arbejdstager' forhold Side 55
  • 56. Indledende præmisser I. Der er (næsten) persondata i alle it-systemer… II. Leverandøren er databehandler hvis adgang til kundens persondata III. Forordning tildeler databehandleren en mere aktiv rolle og flere forpligtelser end Persondataloven IV. Væsentligt skærpede sanktioner for både dataansvarlige og databehandlere ved manglende compliance => Databehandleraftalen – den nye kampplads i kontraktforhandlinger.. Side 56
  • 57. Kundens overvejelser ved valg af dataansvarlig
  • 58. ● Den dataansvarlige må alene benytte databehandlere, der giver fornødne garantier vedrørende beskyttelse af den dataansvarliges oplysninger ● Risikoanalyse skal i nødvendigt omfang også omfatte databehandlerens forhold => Behov for "due dilligence": Den dataansvarlige bør aktivt spørge ind til, og om fornødent kontrollere og sikre sig dokumentation for, hvordan databehandleren behandler den dataansvarliges persondata, inden aftaleindgåelsen! Side 58
  • 60. ● Yderligere grunde for kunden til at se sig for:  Den dataansvarlige hæfter solidarisk med databehandleren over for de registrerede for databehandlerens manglende overholdelse af reglerne.  Den dataansvarlige kan ifalde bøder for databehandlerens behandling af personoplysninger Side 60
  • 62.  Genstanden for behandlingen og typen af personoplysninger  Varigheden af behandlingen  Hvilken form for behandling, der skal foretages og til hvilke(-t) formål  Hvilke kategorier af registrerede, som de behandlede personoplysninger vedrører  Den dataansvarliges rettigheder og forpligtelser Side 62 Krav til indhold (artikel 28, stk. 3) § § §
  • 63. ● At databehandleren kun må behandle personoplysningerne på baggrund af den dataansvarliges instruks ● At personer hos databehandleren, der er autoriserede til at behandle oplysningerne, er underlagt en fortrolighedsforpligtelse ● At databehandleren skal etablere passende sikkerhedsforanstaltninger ● At databehandleren overholder betingelserne i Forordningen om brug af underdatabehandlere Side 63
  • 64. ● At databehandleren skal bistå den dataansvarlige med at opfylde dennes forpligtelser over for de registrerede ● At databehandleren skal bistå den dataansvarlige med at sikre dennes overholdelse af forpligtelserne i Forordningens artikel 32-36 om bl.a. - sikkerhedsforanstaltninger - anmeldelse ved sikkerhedsbrud - udarbejdelse af risikoanalyser, herunder eventuelt en DPIA - eventuel konsultation med databeskyttelsesmyndighederne Side 64
  • 65. ● At databehandleren på den dataansvarliges anmodning og efter den dataansvarliges valg sletter eller returnerer de behandlede personoplysninger ved behandlingens ophør ● At databehandleren udleverer alle nødvendige informationer med henblik på, at den dataansvarlige kan dokumentere at behandlingen hos databehandleren lever op til forpligtelserne samt ● At databehandleren tillader og medvirker til kontrol og audits. ● At databehandleren har pligt til at informere den dataansvarlige, såfremt det er databehandler- ens opfattelse at en instruks er ulovlig. Side 65
  • 67. ● Kundens standardaftale vs. Leverandørens standardaftale? - "Battle of forms" - Behov for grundig gennemgang; compliance, fordeling af ansvar og forpligtelser - Væsentligt forhandlingstema ● Model contractual clauses? - Forordningens artikel 28, stk. 7 og 8: Kommissionen eller nationale tilsynsmyndigheder kan vedtage standardkontraktbestemmelser - Uvist om hjemmel vil blive udnyttet - Forsigtigt bud: Nok ikke..? - Brancheaftaler – ITB m.fl. Side 67
  • 69. Underdatabehandlere og "under-under databehandlere": Side 69 Dataansvarlig Databehandler Underdatabehandler Underdatabehandler Underdatabehandler
  • 70. ● ’Underdatabehandlere’- begreb: − ’Underleverandører’ til databehandleren − Underdatabehandlere er også databehandler for den dataansvarlige • Uagtet der ikke måtte være et direkte leverandørforhold • Er der ikke et direkte leverandørforhold, er databehandleren ansvarlig overfor den dataansvarlige i relation til underdatabehandlerens misligholdelse ● Brug af underdatabehandlere kræver samtykke fra den dataansvarlige Side 70
  • 71. − Der skal indgås en (under-)databehandleraftale med underdatabehandleren − Skal være på back-to-back vilkår: − Hele vejen ned igennem "kæden" Side 71
  • 73. Behov for nye aftaler? ● Eksisterende databehandleraftaler bortfalder ikke automatisk ● Hvis databehandleraftalen ikke overholder Forordningens krav, vil det være en overtrædelse af Forordningen (uanset om selve behandlingen overholder reglerne) ● Manglende opdatering vil være en skærpende omstændighed ved vurderingen af erstatnings- og bødeansvar i tilfælde af f.eks. et sikkerhedsbrud. Side 73
  • 74. Behov for nye aftaler? Både kunder og leverandører bør gennemgå deres kontrakter fra før Forordningens ikrafttrædelse og får foretaget de nødvendige opdateringer, så kontrakterne overholder Forordningen! Nye aftaler bør tage højde for Forordningens krav! Side 74
  • 75. Hvad er kravene til kontrol og audits?
  • 76. Hvad er kravene til kontrol og audits? ● Den dataansvarlige skal være i stand til at dokumentere, at behandling af personoplysninger, som foretages af eller for den dataansvarlige, er i overensstemmelse med Forordningen. Side 76 Behov for præcise og operationelle vilkår, der sætter den dataansvarlige i stand til over for tilsynsmyndighederne at demonstrere, at tekniske og organisatoriske sikkerhedsforanstaltninger overholdes.
  • 77. ● Herudover bør den dataansvarlige sikre sig, at - databehandleren løbende tester og evaluerer effektiviteten af sikkerhedsforanstaltningerne, og - stiller dokumentation for resultatet af sådanne tests til rådighed for den dataansvarlige. ● Tillige behov for regulering af: - hvordan databehandleren skal medvirke ved kontrol og audits - hvilke varsler der skal gives - om, og i givet fald hvordan, databehandleren skal betales for at medvirke Side 77
  • 78. Regulering og håndtering af sikkerhedsbrud
  • 79. ● Databehandleren skal bistå den dataansvarlige med at overholde forpligtelserne i Forordningen om anmeldelse ved sikkerhedsbrud og eventuel konsultation med databeskyttelsesmyndighederne ● Pligten skal eksplicit fremgå af databehandleraftalen, jf. artikel 28, stk. 3, litra f Side 79
  • 80. Fordeling af ansvar for krav på er- statning fra registrede og bøder
  • 81. Aftalefrihed? ● Kan kunde og leverandør frit aftale fordeling af ansvaret og ansvarsbegrænsninger ved f.eks. sikkerhedsbrud eller tilsidesættelse af registreredes rettigheder? ● Eksempel: "Leverandørens ansvar, herunder for krav fra tredjemand, som følge af manglende overholdelse af databehandleraftalen, er begrænset til 1 mio. DKK. Kunden skal skadesløsholde Leverandøren for ethvert krav fra tredjemand, der overstiger dette beløb." Side 81
  • 82. Aftalefrihed? ● Erstatning til registrerede?: Nej, jf. artikel 88, stk. 5 ● Erstatning for kundens egne tab (f.eks. internt tidsforbrug og eksterne konsulenter): Ja ● Bøder? Nej, DL 5-1-2 (aftaler i strid med lov og ærbarhed) Side 82
  • 83. Hvis du vil vide mere: "Persondataforordningen – en håndbog for praktikere"  Side 83
  • 84. Thank you Advokat, partner Jesper Langemark Telefon: 22 26 20 02 Mail: jesper.langemark@twobirds.com BIRD & BIRD ADVOKATPARTNERSELSKAB Bird & Bird Advokatpartnerselskab er et registreret selskab i Danmark under CVR-nr. 35 14 45 01. Alle vores advokater er medlem af Advokatsamfundet og underlagt de advokatetiske regler fra Advokatrådet. Reglerne er tilgængelige her: www.advokatsamfundet.dk. BIRD & BIRD Bird & Bird LLP, er et registreret partnerskab, registreret i England og Wales under registreringsnummer OC340318, der er autoriseret og underlagt Solicitors Regulation Authority, og dets regler og retningslinier der er tilgængelige her: sra.org.uk/handbook/ For yderligere information om Bird & Bird internationalt, herunder Bird & Bird LLP, dets filialer og associerede selskaber (samlet benævnt ”Bird & Bird”), vores kontorer, ansatte, partnere og rådgivningsområder, brug af e-mails og regulatoriske forhold, se vores website på twobirds.com og navnlig ”Legal Notices”.