1 kilde: novi-attorneys · behandling af ikke-følsomme oplysninger - art 6, stk. 1 – behandling...
TRANSCRIPT
1 novi-attorneys.com Kilde: www.neurope.eu
ISOBRO den 7. november 2016
https://www.youtube.com/watch?v=RdU--d46D80
PERSONDATAFORORDNINGEN
2 novi-attorneys.com
Fokus
• Baggrund, anvendelsesområde og undtagelser • Definitioner og generelle principper og betingelser for behandling af personoplysninger • Fortegnelse over behandlingsaktiviteter
Persondataforordningen – helikopterpespektiv
• Oplysningspligt og indsigtsret • Ret til berigtigelse • ”Retten til at blive glemt” • Ret til dataportabilitet • Ret til indsigelse og automatiske individuelle afgørelser
De registreredes rettigheder
• Risikovurdering • Konsekvensanalyse • Databeskyttelse gennem design og databeskyttelse gennem indstillinger
Sikkerhed
• ”Short list” Compliance i praksis
novi-attorneys.com 3
Baggrund, anvendelsesområde og undtagelser
Persondataforordningen i helikopterperspektiv
4 novi-attorneys.com
Persondataforordningen i helikopterperspektiv
• EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)
• ”Forordning”
• Træder i kraft i EU’s medlemsstater d. 25. maj 2018
• Da det er en forordning, så direkte virkning i medlemsstaterne – dvs ingen national implementeringslov
• Forventet øget harmonisering på tværs af EU – ”ens” sanktionering
• Reglernes fortolkning udestår
• OG der åbnes op for nationale særregler på en lang række områder
Baggrund, anvendelsesområde og undtagelser
5 novi-attorneys.com
Persondataforordningen i helikopterperspektiv
• Beskyttelse af privatlivets fred
• Fri udveksling af oplysninger i EU
• Højt beskyttelsesniveau
• Bidrage til skabelsen af et område med frihed, sikkerhed og retfærdighed og til økonomiske og sociale fremskridt i EU
• Styrkelse af fysiske personers velfærd
• Styrkelse af økonomierne inden for det indre marked
• Stærk og mere sammenhængende databeskyttelsesramme
• Effektiv håndhævelse
Baggrund, anvendelsesområde og undtagelser
6 novi-attorneys.com
Formål med persondataforordningen
Persondataforordningen i helikopterperspektiv Baggrund, anvendelsesområde og undtagelser
7 novi-attorneys.com Kilde: Winfried Veil
Persondataforordningen i helikopterperspektiv
Baggrund, anvendelsesområde og undtagelser
8 novi-attorneys.com Kilde Justitsministeriet
Persondataforordningen i helikopterperspektiv
Baggrund, anvendelsesområde og undtagelser
9 novi-attorneys.com Kilde Justitsministeriet
Persondataforordningen i helikopterperspektiv
Forordningens anvendelsesområde, jf. Art 2:
• Personoplysninger
• Automatisk databehandling (hel eller delvis)
• Ikke-automatisk databehandling i registre (struktureret samling af personoplysninger, men ikke sagsmapper eller samlinger af sagsmapper samt deres forsider, som ikke er struktureret efter bestemte kriterier, jf. betragtning 15)
NB: Forordningen gælder ikke for behandling af oplysninger vedrørende juridiske personer – måske opretholdes de nuværende danske regler
Baggrund, anvendelsesområde og undtagelser
10 novi-attorneys.com
Svarer næsten til det vi kender
Persondataforordningen i helikopterperspektiv
Art 2
• ”Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register”
• Gælder som udgangspunkt alle offentlige myndigheder, organisationer og erhvervsdrivende, men fortsat ikke aktiviteter af privat karakter
Art 4
• Definitioner – mange af de samme • Dataansvarlig, databehandler, datasubjekt, samtykke, m.fl. Husk at oplysninger om personer i deres erhvervsmæssige kapacitet
fortsat er personoplysninger • Men også mange nye definitioner
• Profilering, pseudonymisering, genetiske data, biometriske data, hovedvirksomhed, foretagende, koncern, m.fl.
Datakategorier
• Stadig følsomme og ikke-følsomme data – genetiske og biometriske data er kun følsomme, hvor de behandles med henblik på identifikation
• Særlige regler for børn mellem 13 og 16
Baggrund, anvendelsesområde og undtagelser
novi-attorneys.com 11
Persondataforordningen i helikopterperspektiv
Undtagelser – Art 2, stk. 2
• Aktiviteter, som falder uden for EU-retten
• Aktiviteter inden for EU’s fælles udenrigs- og sikkerhedspolitik
• Aktiviteter af personlig eller familiemæssig karakter (Lindqvist-sagen C-101/01)
• Anklagemyndighed, politi og domstole
Undtagelser eller særlige regler vedr. specifikke behandlingssituationer – Kapitel IX
• Ytrings- og informationsfriheden, jf. Art 85
• Aktindsigt, jf. Art 86
• CPR-nr., jf. Art 87
• Ansættelsesforhold, jf. Art 88
• Arkivformål, videnskabelig, historiske eller statistiske formål
Baggrund, anvendelsesområde og undtagelser
12 novi-attorneys.com
Definitioner og generelle principper
Persondataforordningen i helikopterperspektiv
13 novi-attorneys.com
De kendte
• Personoplysninger
• Behandling
• Register
• Dataansvarlig
• Databehandler
• Modtager
• Tredjemand
• Samtykke
(tredjeland mangler)
De nye
• Begrænsning af behandling
• Profilering
• Pseudonymisering
• Brud på persondatasikkerheden
• Genetiske data
• Biometriske data
• Helbredsoplysninger
• Hovedvirksomhed
• Repræsentant
• Foretagende
• Koncern
• Bindende virksomhedsregler
• Tilsynsmyndighed
• Berørt tilsynsmyndighed
• Grænseoverskridende behandling
• Relevant og begrundet indsigelse
• Informationssamfunds-tjeneste
• International organisation
Persondataforordningen i helikopterperspektiv Definitioner og generelle principper
novi-attorneys.com 14
Art 4
Persondataforordningen i helikopterperspektiv
Personoplysninger – Art 4 (1)
• Definition: ”Enhver form for information om en identificeret eller identificerbar fysisk person”
• Identificerbar: ”fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en online-identifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet”
• FX:
• oplysninger om fysiske personer – hårfarve, bopæl, alder, arbejdsplads, genetiske oplysninger, billede, uddannelse, mv.,
• oplysninger om kontaktpersoner hos samarbejdspartnere – fx e-mailadresse el. stilling • oplysninger om bipersoner, fostre, optagelser fra overvågningskameraer, m.fl.
• oplysning om en persons tidligere, nuværende og fremtidige fysiske eller psykiske tilstand samt medicinbrug og misbrug af narkotika, alkohol og lignende nydelsesmidler.
Definitioner og generelle principper
15 novi-attorneys.com
Persondataforordningen i helikopterperspektiv
Personoplysninger er også:
• pseudonymiserede oplysninger, dvs oplysninger, som ikke kan henføres til en bestemt fysisk person uden brug af supplerende oplysninger
• krypterede oplysninger
• IP-adresser
• Oplysninger indsamlet via cookies forudsat, at disse alene eller sammen med andre oplysninger kan identificere en bestemt fysisk person
Definitioner og generelle principper
novi-attorneys.com 16
Persondataforordningen i helikopterperspektiv
Behandling – Art 4 (2)
• Definition: ”Enhver aktivitet eller række af aktiviteter med eller uden brug af automatisk behandling, som
personoplysninger eller en samling af personoplysninger gøres til genstand for” • FX bl.a.:
Indsamling Registrering Brug/udnyttelse Organisering Opbevaring Tilpasning Samkøring Videregivelse Tekstbehandling Søgning Genfinding Formidling Overladelse Begrænsning Systematisering Ændring Tilintetgørelse Sletning
Definitioner og generelle principper
17 novi-attorneys.com
Persondataforordningen i helikopterperspektiv
Dataansvarlig – Art 4 (7)
Definition: ”…der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler, der må foretages behandling af oplysningerne.”
- beslutningskompetencen i forhold til formål og hjælpemidler
- udg.pkt. selve virksomheden, ikke enkeltpersoner
- analyse baseret på faktiske forhold – ikke formelle titler i parternes aftaler
- ansvarlig for overholdelse af størstedelen af GDPR
- kontrol baseret på retlig forpligtelse
- kontrol baseret på implicit kompetence, fx arbejdsgiver
- kontrol baseret på faktisk indflydelse, fx opstået kvalificering som dataansvarlig (sag vedr. KL og MS Azure)
Definitioner og generelle principper
18 novi-attorneys.com
Persondataforordningen i helikopterperspektiv
Databehandler – Art 4 (8)
Definition: ”…der behandler oplysninger på den dataansvarliges vegne.”
• Databehandleren er den, som behandlingen af oplysningerne overlades til (direkte eller via remote access)
• Databehandleren kan ikke disponere over oplysninger til egne formål eller uden den dataansvarliges accept
• Det er fortsat den dataansvarlige, som er direkte ansvarlig overfor den registrerede, men databehandleren kan ifalde erstatningsansvar overfor de registrerede – kommer vi tilbage til
• ”Overladelse” er nok fortsat ikke en behandling – selve overladelsen kræver derfor ikke selvstændig hjemmel
Definitioner og generelle principper
19 novi-attorneys.com
Persondataforordningen i helikopterperspektiv
Samtykke – Art 4 (11)
Definition: ”…enhver frivillig, specifik, informeret og utvetyding viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling.”
Betragtning 32
”…f.eks. ved en skriftlig erklæring, herunder elektronisk, eller en mundtlig erklæring. Dette kan f.eks. foregå ved at sætte kryds i et felt ved besøg på et websted, ved valg af tekniske indstilling er til informationssamfundstjenester eller en anden erklæring eller handling, der tydeligt i denne forbindelse tilkendegiver den registreredes accept af den foreslåede behandling af vedkommendes personoplysninger. Tavshed, forudafkrydsede felter eller inaktivitet bør derfor ikke udgøre samtykke. Samtykke bør dække alle behandlingsaktiviteter, der udføres til det eller de samme formål. Når behandling tjener flere formål, bør der gives samtykke til dem alle. Hvis den registreredes samtykke skal gives efter en elektronisk anmodning, skal anmodningen være klar, kortfattet og ikke unødigt forstyrre brugen af den tjeneste, som samtykke gives til.”
Definitioner og generelle principper
20 novi-attorneys.com
Persondataforordningen i helikopterperspektiv
Samtykke
• Skal være:
• frivilligt – uden tvang og baseret på reelt og frit valg, jf. betragtning 42. Videre kan ”klar” skævhed mellem den registrerede og den dataansvarlige bevirke, at samtykke ikke er frivilligt, navnlig hvor den dataansvarlige er en offentlig myndighed, ligesom samtykke ikke er frivilligt, hvis afgivelse er en betingelse for opfyldelse af en kontrakt eller ydelse af en tjeneste, jf. betragtning 43 og Art 7, stk. 4.
• specifikt – hvilke oplysninger og til hvad
• informeret – hvem behandler og hvordan
• utvetydigt (nogen gange udtrykkeligt) – der skal ikke være tvivl om afgivelse eller omfanget af et samtykke
• Ikke stiltiende eller indirekte - mulighed for udøvelse af kontrol gennem samtykke
• Ikke krav om skriftlighed, med den dataansvarlige har bevisbyrden, jf. Art 7, stk. 1, så praktisk – ved følsomme oplysninger nok også nødvendigt
• Den registrerede kan til enhver tid trække sit samtykke tilbage, jf. Art 7, stk. 3, OG man skal oplyse om denne mulighed i forbindelse med indhentelse af samtykke
• Overvej om oplysningerne skal slettes efter tilbagekaldelse af samtykke, jf. Art 17, stk. 1, litra (b)
Definitioner og generelle principper
21 novi-attorneys.com
Persondataforordningen i helikopterperspektiv
• Personoplysningerne skal behandles lovligt, rimeligt og gennemsigtigt i forhold til den registrerede
Lovlighed, rimelighed og gennemsigtighed
• Indsamling skal ske til udtrykkeligt angiven og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål Formålsbegrænsning
• Personoplysningerne skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til formålet/formålene Dataminimering
• Personoplysningerne skal være korrekte og om nødvendigt ajourførte • Ethvert rimeligt skridt til sikring af at personoplysninger, der er urigtige i
forhold til formålet, straks slettes eller berigtiges Rigtighed
• Opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede længere end nødvendigt af hensyn til formålet (sletning) Opbevaringsbegræsning
• Indføre tekniske og organisatoriske foranstaltninger Integritet og fortrolighed
Definitioner og generelle principper
22 novi-attorneys.com
ART
5 A
N S
V A
R L
I G
H E
D
Persondataforordningen i helikopterperspektiv
Princippet om ansvarlighed – Art 5
Art 24 indeholder den generelle bestemmelse
om den dataansvarliges ansvar:
• den dataansvarlige skal gennemføre tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandlingen er i overensstemmelse med forordningen – revisions- og ajourføringspligt
• kan blandt andet omfatte implementering af databeskyttelsespolitikker
Definitioner og generelle principper
23 novi-attorneys.com
Den dataansvarlige er ansvarlig for og skal kunne påvise at alle principperne
for behandling af personoplysninger indeholdt i
Art 5 overholdes, jf. Art 5, stk. 2
Persondataforordningen i helikopterperspektiv
Fortegnelse over behandlingsaktiviteter
24
For dataansvarlige, jf. Art 30, stk. 1 • Fortegnelse over behandlingsaktiviteter
• Den dataansvarliges/den dataansvarliges eventuelle repræsentanters/DPO’ens navn og kontaktoplysninger
• Behandlingens formål
• Kategorier af registrerede og persondata
• Kategorier af modtagere af persondata
• Tredjelandsoverførsler og grundlaget herfor (herunder dokumentation for fornødne garantier i relation til overførsler efter art. 49, stk. 1, 2. afsnit)
• Sletteregler
• Tekniske og organisatoriske sikkerhedsforanstaltninger
For databehandlere, jf. Art 30, stk. 2 • Fortegnelse over alle kategorier af behandlingsaktiviteter
• Databehandlerens/databehandlerens eventuelle repræsentanters
navn og kontaktoplysninger
• Kategorier af databehandling
• Tredjelandsoverførsler og grundlaget herfor (herunder dokumentation for fornødne garantier i relation til overførsler efter art. 49, stk. 1, 2. afsnit)
• Tekniske og organisatoriske sikkerhedsforanstaltninger
novi-attorneys.com
Fortegnelserne skal være skriftlige + elektroniske kan kræves udleveret af tilsynsmyndigheden
Generelle betingelser for behandling af personoplysninger
Persondataforordningen i helikopterperspektiv
25 novi-attorneys.com
Persondataforordningen i helikopterperspektiv Generelle betingelser for behandling af personoplysninger
26
Ansvarlighed
Behandlingshjemmel
Øvrige regler
Artikel 5
Særlige kategorier af personoplysninger
• Race eller etnisk baggrund
• Politisk, religiøs eller filosofisk overbevisning
• Fagforeningsmæssigt tilhørsforhold
• Genetiske eller biometriske data hvis behandling med henblik på identifikation
• Helbredsoplysninger
• Seksuelle forhold / seksuel orientering
Almindelige personoplysninger
• Alle andre oplysninger end de særlige
særlige kategorier af oplysninger, herunder fotografier, jf. betragtning 51
Persondataforordningen i helikopterperspektiv Generelle betingelser for behandling af personoplysninger
novi-attorneys.com 27
NB: Artikel 10 – behandling af personoplysninger vedrørende straffedomme og lovovertrædelser kun under kontrol af offentlig myndighed eller med hjemmel i lov eller EU-ret
Overladt til medlemsstaterne at regulere behandling af CPR-nummer, jf. Art 87
Persondataforordningen i helikopterperspektiv
Behandling af ikke-følsomme oplysninger - Art 6, stk. 1 – behandling er lovlig, såfremt ét af nedenstående forhold gør sig gældende:
a) Samtykke til til behandling til et eller flere formål
Betingelser for samtykke, jf. Art 7:
• frivilligt – specifikt – informeret - utvetydigt
• Dataansvarlig skal kunne påvise, at der er givet samtykke, dvs. dokumentationsforpligtelse
• Ved skriftligt samtykke, så skal selve samtykket klart kunne skelnes fra ”de andre forhold” (f.eks. ikke indeholdt i almindelige betingelser for brug af netbank, kundeaftaler, kundeklubber, osv.)
• Samtykke til forskellige / hver enkelt behandlingsaktivitet
• Kan altid trækkes tilbage
• I forhold til vurdering af frivillighed, så lægges der vægt på, om opfyldelse af en kontrakt, herunder om en tjenesteydelse, er gjort betinget af samtykke til behandling af personoplysninger, som ikke er nødvendig for opfyldelse af kontrakten.
Generelle betingelser for behandling af personoplysninger
28 novi-attorneys.com
Persondataforordningen i helikopterperspektiv
Hvad med eksisterende samtykker?
”…Direktiv 95/46/EF bør ophæves ved denne forordning. Behandling, der allerede er indledt på datoen for denne forordnings anvendelse, bør bringes i overensstemmelse med forordningen senest to år efter ikrafttrædelsen heraf. Når behandling er baseret på samtykke i henhold til direktiv 95/46/EF, er det ikke nødvendigt, at den registrerede på ny giver sit samtykke, såfremt den måde, som samtykket er givet på, er i overensstemmelse med betingelserne i denne forordning; i så fald kan den dataansvarlige fortsætte behandlingen efter denne forordnings anvendelsesdato…” jf. betragtning 171
BØRN
Betingelser for børns samtykke i forhold til informationssamfundstjenester, jf. Art 8 krav om forældresamtykke eller -godkendelse, hvis barnet er under 16 år + den dataansvarlige skal ”gøre sig rimelige bestræbelser på at kontrollere”, at indehaveren af forældremyndigheden har givet eller har godkendt samtykket.
Generelle betingelser for behandling af personoplysninger
29 novi-attorneys.com
Persondataforordningen i helikopterperspektiv
Art 6, stk. 1 (fortsat) – behandling er lovlig, såfremt ét af nedenstående forhold gør sig gældende:
Behandling er nødvendig af hensyn til:
b) Opfyldelse af aftale eller gennemførelse af foranstaltninger på den registreredes anmodning forud for indgåelse af aftale (fx værdipapirhandel, arbejdsgiver/arbejdstager forhold)
c) Retlig forpligtelse (fx indberetning til Skat) – BEMÆRK Art 6, stk. 2 og 3 – mulighed for at MS kan opretholde eller indføre specifikke bestemmelser ved at fastsætte ”mere præcist specifikke krav til behandling og andre foranstaltninger” – grundlaget for behandling skal fremgå af EU-retten eller national ret
d) Vitale interesser (medicinsk nødssituation)
e) Opgave i samfundets interesse eller offentlig myndighedsudøvelse – BEMÆRK Art 6, stk. 2 og 3 – mulighed for at MS kan opretholde eller indføre specifikke bestemmelser ved at fastsætte ”mere præcist specifikke krav til behandling og andre foranstaltninger” - grundlaget for behandling skal fremgå af EU-retten eller national ret
f) ”Legitim interesse” hos dataansvarlig eller 3. mand, mm. den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, går forud herfor, navnlig hvis den registrerede er et barn (denne behandlingshjemmel gælder IKKE offentlige myndigheder, jf. Art 6, stk. 1, litra (f), sidste led)
Generelle betingelser for behandling af personoplysninger
30 novi-attorneys.com
Persondataforordningen i helikopterperspektiv
Art 6, stk. 1, litra (f) – interesseafvejningsreglen
”Legitime interesser”, jf. betragtningerne 47-49:
Forudsætter ”nøje vurdering af, om en registreret på tidspunktet for og i forbindelse med indsamling af personoplysningerne med rimelighed kan forvente, at behandling med dette formål kan finde sted.”
Eksempler:
• Kunde hos dataansvarlig (”client”)
• Gør tjeneste under (”in the service of the controller”)
• Behandling til direkte markedsføring
• Videregivelse indenfor koncerner til interne administrative formål af kunders og medarbejderes personoplysninger
• Behandling i forbindelse med sikkerhedstiltag
Generelle betingelser for behandling af personoplysninger
31 novi-attorneys.com
Persondataforordningen i helikopterperspektiv
Behandling af særlige kategorier af personoplysninger – Art 9
Hovedregel: FORBUD, jf. Art 9, stk. 1
Undtagelse: ikke forbudt, hvis et af nedenstående forhold gør sig gældende, jf. Art 9, stk. 2:
a) Udtrykkeligt samtykke til et eller flere specifikke formål
b) Nødvendig behandling på det arbejds-, sundheds- eller socialretlige område og, der er hjemmel i lov eller kollektiv overenskomst
c) Vitale interesser
d) Politiske, filosofiske, religiøse eller fagforeningsmæssige sammenslutningers behandling af oplysninger om tidligere eller eksisterende medlemmer eller om andre med hvem sammenslutningen har regelmæssig kontakt. Videregivelse forudsætter samtykke
e) Oplysningerne er tydeligvis offentliggjort af den registrerede selv
f) Behandling er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares, eller når en domstol handler i egenskab af domstol
Generelle betingelser for behandling af personoplysninger
32 novi-attorneys.com
Persondataforordningen i helikopterperspektiv
Behandling af særlige kategorier af personoplysninger – Art 9 - fortsat
Hovedregel: FORBUD, jf. Art 9, stk. 1
Undtagelse: ikke forbudt, hvis et af nedenstående forhold gør sig gældende, jf. Art 9, stk. 2:
g) Nødvendig af hensyn til væsentlige samfundsinteresser med hjemmel i lov/EU-retten, navnlig – jf. betragtning 52 – behandling indenfor ansættelsesret, socialret, herunder pensioner og med henblik på sundhedssikkerhed, overvågning og varsling, forebyggelse eller kontrol af overførbare sygdomme og andre alvorlige trusler mod sundheden, sundhedsformål, herunder folkesundhed og forvaltning af sundhedsydelser. Smh. også med betragtningerne 55 og 56
h) Nødvendig ”med henblik på forebyggende medicin eller arbejdsmedicin” i forhold til arbejdstageres erhvervsevne, medicinsk diagnose, social- og sundhedsomsorg med hjemmel i lov/EU-retten eller hvor behandling foretages af ”fagperson” underlagt tavshedspligt
i) Nødvendig af hensyn til samfundsinteresser på folkesundhedsområde med hjemmel i lov/EU-retten, smh. med betragtning 54
j) Nødvendig i samfundet interesse til arkivformål, videnskabelig eller historiske forskningsformål eller statiske formål
Art 9, stk. 4 – adgang for medlemsstaterne til indførelse af yderligere betingelser/begrænsninger for behandling af genetiske data, biometriske data eller helbredsoplysninger
Generelle betingelser for behandling af personoplysninger
33 novi-attorneys.com
Persondataforordningen i helikopterperspektiv
Art 6, stk. 4 – behandling til ”andet formål” – lader til også at gælde særlige kategorier af oplysninger
• Art 6, stk. 4 bringes kun i anvendelse, hvis behandlingshjemmel til ”andet formål” IKKE er samtykke, national ret eller EU-ret, jf. betragtning 50
• Vurdering, som skal foretages af den dataansvarlige, med henblik på at få klarlagt om det ”andet formål” er foreneligt med det formål, som personoplysningerne oprindeligt blev indsamlet til – hvis foreneligt, så ikke krav om ”ny” hjemmel, jf. betragtning 50
• Den dataansvarlige skal inddrage følgende i vurderingen: a) enhver forbindelse mellem det formål, som personoplysningerne er indsamlet til, og formålet med den påtænkte viderebehandling
b) den sammenhæng, hvori personoplysningerne er blevet indsamlet, navnlig med hensyn til forholdet mellem den registrerede og den dataansvarlige
c) personoplysningernes art, navnlig om særlige kategorier af personoplysninger behandles eller oplysninger vedr. straffedomme/lovovertrædelser
d) den påtænkte viderebehandlings mulige konsekvenser for de registrerede
e) tilstedeværelse af fornødne garantier, fx kryptering eller pseudonymisering
• Hvis der er tale om mulige strafbare handlinger eller trusler mod offentlig sikkerhed, som den dataansvarlige påviser og videresender til en kompetent myndighed, så vil dette være i den dataansvarliges legitime interesse, jf. betragtning 50
Generelle betingelser for behandling af personoplysninger
34 novi-attorneys.com
De registreredes rettigheder
35 novi-attorneys.com
Den registreredes rettigheder – oversigt – kapitel III
• Oplysningspligt over for den registrerede, jf. Art 13 og 14
• Indsigtsret, jf. Art 15
• Ret til berigtigelse, jf. Art 16
• Ret til sletning, jf. Art 17
• Ret til begrænsning af behandling, jf. Art 18
• Dataansvarliges underretningspligt vedr. berigtigelse, sletning eller begrænsning af behandling, jf. Art 19
• Ret til dataportabilitet, jf. Art 20
• Indsigelsesret over for behandlinger baseret på Art 6, stk. 1, litra (e) og (f), og ubetinget indsigelsesret mod behandling til direkte markedsføring, jf. Art 21
• Ret til indsigelse mod automatiserede afgørelser, herunder profilering, jf. Art 22
Mulighed for begrænsning af rettighederne i kapitel III, jf. Art 23
novi-attorneys.com 36
De registreredes rettigheder
Indsamling hos den registrerede selv, jf. Art 13
Følgende oplysninger skal gives på indsamlingstidspunktet, mm. den registrerede allerede er bekendt hermed:
• Identitet/kontaktoplysninger på dataansvarlig, evt. repræsentant og DPO
• Formål(ene) med behandlingen og retsgrundlaget
• Legitime interesser hvis retsgrundlag er Art 6, stk. 1, litra (f)
• Modtagere eller kategorier af modtagere
• Om oplysningerne overføres til tredjelande/en international organisation + retsgrundlaget herfor
• Hvor længe oplysningerne behandles eller kriterier til fastlæggelse heraf
• Den registreredes rettigheder
• Retten til at tilbagekalde samtykke
• Retten til at klage til tilsynsmyndigheden
• Hvorvidt det er et lovkrav eller et krav baseret på en kontrakt, at den registrerede afgiver personoplysninger
• Forekomsten af automatiserede afgørelser, herunder profilering, samt opbygning og betydningen heraf
Oplysningspligt
37 novi-attorneys.com
Hvis der skal ske viderebehandling til et andet formål, så ”ny”
oplysningspligt
De registreredes rettigheder
Indsamling andre steder fra end hos den registrerede selv, jf. Art 14
Mm. den registrerede allerede er bekendt hermed gives samme oplysninger som i hht. Art 13 + oplysninger om:
• De berørte kategorier af personoplysninger
• Hvilken kilde oplysningerne hidrører fra og om de stammer fra offentligt tilgængelig kilder
Oplysninger skal gives:
• Senest inden for en måned efter indsamling
• Senest på tidspunktet for første kommunikation med den registrerede, hvis det er det, oplysningerne skal bruges til, ELLER
• Senest på tidspunktet for videregivelse første gang.
Oplysningspligt
38 novi-attorneys.com
Hvis der skal ske viderebehandling til et andet formål, så ”ny” oplysningspligt
De registreredes rettigheder Oplysningspligt - undtagelser
39
Art 13 og 14
• Den registrerede er allerede bekendt med oplysningerne – alle oplysningerne…?
Art 14, stk. 5
• Underretningen er umulig eller uforholdsmæssig vanskelig
• Underretning vil gøre det umuligt eller i alvorlig grad hindre opfyldelse af formålene med behandling
• Indsamling eller videregivelsen er udtrykkeligt fastsat i EU-ret eller national ret
• Tavshedspligt
novi-attorneys.com
De registreredes rettigheder
Den registreredes indsigtsret, jf. Art 15 – den registreredes ret til på anmodning at få svar på, om oplysninger vedr. vedkommende behandles samt at få adgang til oplysningerne + til følgende:
• Formål(ene) med behandlingen og retsgrundlaget
• Kategorier af personoplysninger
• Modtagere eller kategorier af modtagere
• Hvor længe, oplysningerne behandles eller kriterier til fastlæggelse heraf
• Den registreredes rettigheder til berigtigelse, sletning, begrænsning og indsigelse
• Retten til at klage til tilsynsmyndigheden
• Enhver tilgængelig information om, hvor oplysningerne stammer fra, hvis de ikke er indsamlet hos den registrerede selv
• Forekomsten af automatiserede afgørelser, herunder profilering, samt opbygning og betydningen heraf
• Om oplysningerne overføres til tredjelande/en international organisation + fornødne garantier i hht. Art 46
Den dataansvarlige skal udlevere kopi – kan kræve rimelig betaling for yderligere kopier. Elektroniske anmodninger besvares elektronisk
Indsigtsret
40 novi-attorneys.com
De registreredes rettigheder
Den dataansvarlige har en slettepligt, jf. Art 17, hvis:
• Ikke længere nødvendigt at behandle oplysningerne
• Samtykke trækkes tilbage, og der er ikke et andet behandlingsgrundlag
• Begrundet indsigelse mod behandling i medfør af Art 6, stk. 1, litra (e) eller (f)
• Indsigelse mod behandling til direkte markedsføring + profilering i dette øjemed
• Ulovlig behandling af personoplysninger
• Følger af national ret eller EU-ret
• Vedrører behandling af oplysinger baseret på samtykke fra barn
Ovenstående gælder ikke, såfremt: 1) informations/ytringsfrihed, 2) retlig forpligtelse/opgave i samfundets interess, 3) folkesundhed, 4) arkivformål mv. 5) nødv. for at et retskrav kan fastlægges, gøres gældende eller forsvares.
OBS: den dataansvarlige skal i rimeligt omfang foranstalte sletning i videre led, jf. Art 17, stk. 2
Ret til sletning - ”retten til at blive glemt”
41 novi-attorneys.com
De registreredes rettigheder
Den registreredes ret til at få sine oplysninger ”med sig”, jf. Art 20, hvis:
• behandlingen er baseret på samtykke eller kontraktopfyldelse, og
• behandlingen foretages automatisk
Retten til dataportabilitet omfatter kun oplysninger, som den registrerede ”selv” har givet til den dataansvarlige
Hvis teknisk muligt, så omfatter retten til dataportabilitet en ret til at få oplysningerne ”transmitteret” direkte fra den dataansvarlige til en anden
Ret til dataportabilitet
42 novi-attorneys.com
De registreredes rettigheder
Ret til ikke at være genstand for en afgørelse, som udelukkende baseres på automatisk behandling, herunder profilering, med retsvirkning for eller tilsvarende påvirkning, jf. Art 22
”Den registrerede bør have ret til ikke at blive gjort til genstand for en afgørelse, der kan omfatte en foranstaltning, som evaluerer personlige forhold vedrørende vedkommende, og som alene bygger på automatisk behandling, og som har retsvirkning eller som på tilsvarende vis betydeligt påvirker den pågældende, såsom et automatisk afslag på en onlineansøgning om kredit eller e-rekrutteringsprocedurer uden nogen menneskelig indgriben.
En sådan behandling omfatter »profilering«, der består af enhver form for automatisk behandling af personoplysninger, der evaluerer de personlige forhold vedrørende en fysisk person, navnlig for at analysere eller forudsige forhold vedrørende den registreredes arbejdsindsats, økonomisk situation, helbred, personlige præferencer eller interesser, pålidelighed eller adfærd eller geografiske position eller bevægelser, når den har retsvirkning for den pågældende eller på tilsvarende vis betydeligt påvirker den pågældende….”
Betragtning 71
Automatiske afgørelser, herunder profilering
43 novi-attorneys.com
De registreredes rettigheder
Ret til ikke at være genstand for en afgørelse, som udelukkende baseres på automatisk behandling, herunder profilering, med retsvirkning for eller tilsvarende påvirkning, jf. Art 22 (fortsat)
Udgangspunkt: FORBUD
Undtagelser:
a) Nødvendig for indgåelse eller opfyldelse af en kontrakt mellem den registrerede og en dataansvarlig
b) Hjemlet i national lov eller EU-ret
c) Baseret på samtykke
a) og c) forudsætter ret til menneskelig indgriben fra dataansvarlig + ret for registreret til at fremkomme med sine synspunkter og til at bestride afgørelsen
Må ikke baseres på særlige kategorier af oplysninger mm samtykke haves eller nødvendig af hensyn til væsentlige samfundsinteresser
Automatiske afgørelser, herunder profilering
44 novi-attorneys.com
Risikovurdering, konsekvensanalyse og privatlivsbeskyttelse gennem design og indstillinger
Sikkerhed
45 novi-attorneys.com
Passende tekniske og organisatoriske
sikkerhedsforanstaltninger
Risikoanalyse Hvis høj risiko, så…
Konsekvensanalyse
Foranstaltninger til afhjælpning af risici
og høring/godkendelse
Løbende opfølgning
• Art 32 gælder både for dataansvarlige og databehandlere
• Alle behandlinger forudsætter en risikoanalyse
• Der skal indføres passende tekniske og organisatoriske foranstaltninger under hensyntagen til:
• Det aktuelle tekniske niveau og gennemførelsesforanstaltningerne
• Behandlingens karakter, omfang, kontekst og formål og risikoen for den registreredes rettigheder og frihedsrettigheder
Sikkerhed Risikovurdering, konsekvensanalyse og privatlivsbeskyttelse gennem design og indstillinger
novi-attorneys.com 46
Sikkerhed Risikovurdering, konsekvensanalyse og privatlivsbeskyttelse gennem design og indstillinger
47
Risikoen for den registreredes rettigheder og frihedsrettigheder ved • Hændelig eller ulovlig
tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er videregivet, opbevaret eller på anden måde behandlet
Eksempler • Pseudonymisering og kryptering • Vedvarende fortrolighed,
integritet, tilgængelighed og robusthed
• Reetablering • Procedure for regelmæssig
afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger
Hvad betyder det så? • Sikkerheden skal afpasses i forhold til den risiko, behandlingen involverer - måske nok noget af det vi kender fra sikkerheds-bekendtgørelsen: • Organisatoriske forhold og fysisk
sikring • Administration af adgangskontrol-
ordninger og autorisationsordninger samt kontrol med autorisationer
• Behandling og destruktion af ind- og uddatamateriale samt brug af medier/devices
• Brug af mobile arbejdspladser • Logning
novi-attorneys.com
Hvi
s be
hand
linge
n er
ris
ikab
el s
å ko
nsek
vens
anal
yse,
jf.
Art
35
Sikkerhed
Konsekvensanalyse – gælder for dataansvarlige, men databehandlere skal bistå
Den dataansvarlige skal ved behandlinger (særligt ved ny teknologi), som ud fra karakter, omfang, sammenhæng, og
formål medfører en høj risiko for individets rettigheder, udføre en konsekvensanalyse forud for behandlingen
• Særligt ved
• Systematisk og omfattende evaluering af personlige aspekter baseret på automatisk behandling (herunder profilering) og som danner grundlag for beslutninger, som har juridiske konsekvenser for individet, eller på lignende vis har virkning for individet
• Større mængder følsomme oplysninger, biometriske oplysninger eller oplysninger om kriminelle domme og lovovertrædelser
• Overvågning af offentligt tilgængeligt områder, særligt videoovervågning
• Skal genbesøges ved ændring i risikobilledet
Risikovurdering, konsekvensanalyse og privatlivsbeskyttelse gennem design og indstillinger
48 novi-attorneys.com
Sikkerhed
Den skal som minimum indeholde:
• En systematisk beskrivelse af behandlingerne og deres formål
• En vurdering af nødvendigheden og proportionaliteten af behandlingen
• Analyse af identificerede risici for datasubjektets rettigheder og frihedsrettigheder
• Kortlægning af de foranstaltninger, der er nødvendige for at afhjælpe disse risici, samt
• Garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelsen af personoplysninger og påvise compliance med forordningen – databeskyttelse gennem design og indstillinger…
Risikovurdering, konsekvensanalyse og privatlivsbeskyttelse gennem design og indstillinger
49 novi-attorneys.com
Hvad går en konsekvensanalyse ud på?
Overvejelser: • antallet af datasubjekter • følsomme oplysninger • risiko for spredning til uvedkommende, sammenstilling af data uden
individets kendskab • skader ved offentliggørelse/videregivelse til uvedkommende
Korrigerende foranstaltninger: • ændre sammenhæng omkring visse personoplysninger • beskyttelse af personoplysninger • brug af sikkerhedsstandarder, fysisk adgangskontrol eller logning • sikre ajourføring af data • sletning eller anonymisering, når der ikke længere er brug for data
Sikkerhed
Gennem design
• Ud fra det aktuelle tekniske niveau, karakter, omfang, sammenhæng, og formål pligt for dataansvarlig til at sikre, at der er teknisk og organisatorisk understøttelse af overholdelsen af forordningens krav. Det vi i praksis sige:
• databeskyttelse skal tænkes ind i udviklingen af softwareløsninger
Gennem indstillinger
• Formålet er at hindre over-behandling
• Den dataansvarlige skal indføre passende tekniske og organisatoriske foranstaltninger til at sikre at der i udgangspunktet kun behandles nødvendige personoplysninger. Overvejelser:
• privatlivsindstillinger, indsamlingens omfang, behandlingens udstrækning, behandlingens tidsmæssige udstrækning, opbevaringsperioden og tilgængeligheden
Risikovurdering, konsekvensanalyse og privatlivsbeskyttelse gennem design og indstillinger
50 novi-attorneys.com
Databeskyttelse gennem design og indstillinger
Sikkerhed
Hvem har ansvaret…?
Forordningens betragtning 78:
”…Når producenter af produkter, tjenester og applikationer udvikler, designer, udvælger og bruger applikationer, tjenester og produkter, der er baseret på behandling af personoplysninger eller behandler personoplysninger, for at udføre deres opgaver, bør de tilskyndes til at tage højde for retten til databeskyttelse i forbindelse med udvikling og design af sådanne produkter, tjenester og applikationer og til under behørig hensyntagen til det aktuelle tekniske niveau at sørge for, at de dataansvarlige og databehandlerne er i stand til at opfylde deres databeskyttelsesforpligtelser. Der bør også tages hensyn til principperne om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger i forbindelse med offentlige udbud.”
Risikovurdering, konsekvensanalyse og privatlivsbeskyttelse gennem design og indstillinger
novi-attorneys.com 51
Proces
Compliance i praksis
52 novi-attorneys.com
1 • Etablering af projektorganisation
2 • Overvej spørgeskemabaseret for-analyse
3
• Projektplanlægning og scope – forordningen gælder som udg. pkt. for alle behandlingsaktiviteter - ”the full monty”
4
• Persondata due diligence
5 • Gap analyse – juridisk og teknisk
6 • Forberede de anbefalede/vedtagne nye tiltag
7 • Implementering og launch
8 • Vedligehold compliance
Compliance i praksis Igangsætning og proces
novi-attorneys.com 53
Ledelsesforankring Udpege styregruppe Allokering af nødvendige ressourcer internt, hænder, økonomi, systemmæssigt – eksterne rådgivere
Initial afdækning af væsentlige risikoområder
Tidsplan og projektforløb
Dataansvarlige/databehandlere, kategorier af persondata, formål, videregivelse af data, iagttagelse af regler vedr. registreredes rettigheder, transparens, sikkerhedsmæssige aspekter - it-mæssige såvel som organisatoriske, særlige risici, analyse af datastrømme, relevante it-systemer, gennemgang af databehandleraftaler, m.v.
Identificer gaps i eksisterende complianceniveau baseret på gennemgang af indsamlet materiale. Tilrettelæggelse af dokumentation og strategier mv. for fremtidig compliance,. Vurder/foretag risikoanalyser, overveje nødvendigheden af konsekvensanalyser. Anbefalinger for fremadrettede tiltag Forretningsgange, politikker, ansættelseskontrakter, DPO, dokumentation, konsekvensanalyser, sikker-hedsberedskab, mv. Forhandlinger med kunder- og leverandører, nye databehandleraftaler, samtykker, m.v.
Udrulning i organisationen – træningsprogram og implementer de nye forretningsgange og procedurer
Procedure til dokumentation af løbende overholdelse (revision), uddannelse, beredskab til kontrolbesøg, m.v.
Nyttige links
novi-attorneys.com 54
• Datatilsynets hjemmeside om GDPR
http://www.dbreform.dk/
• DI’s vejledning til implementering af persondataforordningen i danske virksomheder + vejledning til PIA
http://di.dk/Virksomhed/Produktion/IT/itsikkerhed/personoplysninger/Pages/Vejledningompersondataforordningen.aspx
http://di.dk/Virksomhed/Produktion/IT/itsikkerhed/personoplysninger/Pages/DIsskabelonforPrivacyImpactAssessment.aspx
• UK Information Commissioner’s PIA vejledning
https://ico.org.uk/media/for-organisations/documents/1595/pia-code-of-practice.pdf
• Justitsministeriet – ikke muligt ”kun” at abonnere på nyheder fra databeskyttelseskontoret
http://www.justitsministeriet.dk/abonn%C3%A9r/abonn%C3%A9r-p%C3%A5-nyhedsbreve-og-pressemeddelelser
• EU Kommissionen
http://ec.europa.eu/justice/data-protection/reform/index_en.htm
• Artikel 29 Gruppen
http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/index_en.htm
• Europæisk tilsynsførende for databeskyttelse
https://secure.edps.europa.eu/EDPSWEB/
Spørgsmål
novi-attorneys.com 55