17. marts 2016

Grab’n Go: Session 2

EU’s persondataforordning

– og hvad så?!?

Introduktion

2© 2016 Deloitte

Rationale

Introduktion: Den nye EU-persondataforordning

© 2016 Deloitte 3

Behov for databeskyttelsesreform

Forskelle i håndhævelse og fortolkning

Forskelle i hastigheden

af lovgivnings-

mæssige opdateringer

Verden ændrer sig

Erstatter EU-direktiv 95/46/EC

Introduktion: Den nye EU-persondataforordning

• Europa-Parlamentets endelige afstemning og formelle

offentliggørelse forventes i 1. eller 2. kvartal af 2016

• Harmoniserer EU’s databeskyttelseslovgivning

• Giver en toårig og 20-dages implementeringsperiode

• Forbedrer den enkeltes rettigheder

• Tillader, at medlemslandene bevarer muligheden for at

indføre yderligere undtagelser for databehandling og

implementering af effektive kontroller

• Nogle medlemslande er allerede i gang med at ændre

deres love, så de er i overensstemmelse med

forordningens bestemmelser

Forordningen anvendes på:

Behandling af personoplysninger i forbindelse med aktiviteter, der gennemføres af en europæisk

dataansvarlig/databehandlers virksomhed uanset om behandlingen finder sted i EU.

Hvis behandlingsaktiviteterne vedrører:

• Udbud af varer eller tjenester til registrerede i EU, uanset om der kræves betaling fra den registrerede

• Overvågning af registreredes adfærd, hvis den finder sted i EU

Samt ved behandling af personoplysninger, som foretages af en dataansvarlig, der ikke er etableret i Unionen,

men et sted, hvor en medlemsstats nationale lovgivning gælder i medfør af folkeretten.

Forordningens anvendelsesområde

© 2016 Deloitte 5

Overblik over de vigtigste krav

6© 2016 Deloitte

Forordningens 10 vigtigste krav – skærpelser er på vej!

123

54

786

910

Borgernes ret til sletning

Privacy Impact Assessment

Skærpede dokumentationskrav

Krav om en

databeskyttelsesansvarlig

Samtykkekrav

Indberetningskrav til

Datatilsynet og underretning

af datasubjekt

Sanktioner

Information om

behandling til

datasubjektet

Privacy by

design

Dataportabilitet

© 2016 Deloitte 7

1. Borgernes ret til sletning

Formål: at give borgere øget kontrol med egne personoplysninger

Nuværende regler om sletning af data præciseres, hvilket betyder, at borgeren kan kræve, at

personoplysninger slettes. Brugeren kan dermed trække sit samtykke tilbage og kræve, at alle oplysninger om

dennes person slettes, såfremt der ikke foreligger andre legitime grunde til at opbevare personoplysningerne.

Den dataansvarlige forpligtes til at gøre tredjeparter opmærksomme på, at den registrerede ønsker

personoplysninger slettet. Dette medfører en ressourcebelastning for dataansvarlige.

Forordningen stiller krav om, at samtykke til virksomhedernes brug af personoplysninger skal gives udtrykkeligt

i form af en erklæring eller lignende.

Praktiske ændringer:

Transparent information til de registrerede om:

at det er frivilligt at give samtykke – frivilligt

hvad formålet med behandlingen er – informeret

afgrænsning af behandlingen – specifikt

at samtykket kan trækkes tilbage

Undtagelser: Retskravsreglen samt hensynet til ytringsfriheden.

© 2016 Deloitte 8

2. Dataportabilitet

Personer får lettere ved at kræve egne data udleveret.

Data skal udleveres i brugbart format - f.eks. Word eller Excel.

Personer får lettere ved at overføre personoplysninger fra én serviceudbyder til

en anden.

Begrænsning:

Kravet omfatter kun oplysninger afgivet af personen selv.

Forordningens regler giver

datasubjektet mulighed for at få

egne data overført til nye

serviceorganer.

Berørte sektorer:

Virksomheder og myndigheder

som modtager oplysninger afgivet

af rettighedssubjektet selv.

© 2016 Deloitte 9

© 2016 Deloitte 10

3. Krav til Privacy Impact Assessment

10

Privacy Impact

Assessment

=

Vurdering af effekten af

behandlingsaktiviteterne

med henblik på

beskyttelse af

personoplysninger

Hvornår• Behandling med høj risiko for frihedsrettigheder

• Før behandlingen

Påkrævet hvornår

• Systematiske og omfattende individuelle beslutninger (herunder profilering)

• Omfattende behandling af følsomme oplysninger

• Omfattende systematisk overvågning af offentligt tilgængelige steder

Indhold

• Beskrivelse af den planlagte behandlingsaktivitet og formål

• Vurdering af nødvendigheden og proportionaliteten af behandlingen

• Vurdering af risici

• Foranstaltninger taget i betragtning til minimering af risiciene

4. Privacy by Design

Dette tiltag tvinger virksomhed-erne til at sætte privacy på dagsordenen i forbindelse med nye produkter, designprocesser osv.

Berørte sektorer:

Alle forretningssektorer

Privacy by Design and Privacy by Default:

Princippet om ”Privacy by Design” bør implementeres, så privatlivets beskyttelse

indbygges i it-arkitekturen og inddrages i planlægningsfasen til nye procedurer og

systemer.

”By Default” betyder, at data kun må behandles, opbevares og indsamles i

overensstemmelse med, hvad der er nødvendig samt i overensstemmelse med det

oprindelige formål for indsamlingen.

Den dataansvarlige skal indføre passende mekanismer for at sikre, at kun nødvendige

data behandles.

Privacy/databeskyttelseshensyn skal tænkes ind i udviklingen af softwareløsninger.

© 2016 Deloitte 11

Databeskyttelsesansvarlig: På nuværende tidspunkt overlader rådet beslutningen om, hvorvidt det skal være obligatorisk

at udpege en databeskyttelsesansvarlig i private virksomheder til medlemslandene. For offentlige myndigheder er det

obligatorisk i alle medlemsstaterne.

Virksomhederne bliver tvunget til at kortlægge deres data og følgende skal dokumenteres: Politikker og procedurer,

procedurer for behandling af den registreredes rettigheder (hvem skal kontaktes hvornår), audits og intern undervisning

samt uddannelse af medarbejdere.

Formålet med forordningen er at minimere risikoen for krænkelser. Virksomhederne skal derfor kunne dokumentere de

overvejelser, de har gjort sig i forbindelse med overholdelsen. Kun de nødvendige data skal behandles i den givne

kontekst, slettefrister skal overholdes og kun de nødvendige personer skal have adgang til data. Alt dette skal kunne

dokumenteres.

5. Skærpede dokumentationskrav

12© 2016 Deloitte

Dette tiltag tvinger virksomhed-erne til at sætte privacy på dags-ordenen i forbindelse med nye produkter, design processer osv.

Berørte sektorer:

Alle forretningssektorer

6. Krav om en Databeskyttelsesansvarlig

– eller Data Protection Officer (DPO)

Forordningen indebærer en udvidelse af den dataansvarliges ansvar - især ved at

kræve, at de dataansvarlige udpeger en databeskyttelsesansvarlig, når:

Der er tale om en offentlig myndighed. Alle offentlige myndigheder, der behandler

personoplysninger, skal have en DPO. Domstole er undtaget.

Offentlige myndigheder med bred organisatorisk struktur kan nøjes med at udpege én

DPO, såfremt den organisatoriske struktur og størrelse tillader det.

Virksomhedens kerneaktiviteter i større omfang består af behandlingsaktiviteter, hvis

karakter, omfang eller formål kræver regelmæssig og systematisk overvågning af

registrerede - eller

Kerneaktiviteterne i en virksomhed i større omfang består af behandling af følsomme

personoplysninger, lokaliseringsoplysninger eller oplysninger om børn eller medarbejdere i

omfattende registre.

Koncerner kan udpege én DPO, der er ansvarlige for samtlige selskabers behandling af

personoplysninger.

© 2016 Deloitte 13

Krav til den databeskyttelsesansvarlige

DPO’en skal udpeges på baggrund af professionelle kvalifikationer og særligt på baggrund

af ekspertise inden for databeskyttelseslovgivning samt praksis.

DPO’en skal have særlig viden om persondatabeskyttelse.

DPO’ens uafhængighed skal sikres gennem særlige kontrakter – DPO tildeles ikke

tillidsmandsstatus.

DPO’ens opgaver er:

At informere og rådgive om de forpligtelser, der gælder ifølge forordningen

At sikre, at forordningens regler overholdes i den daglige drift

At overvåge, at regler og standarder overholdes - herunder fordeling af ansvar, oplysningskampagner og

uddannelse af medarbejdere

At rådgive om konsekvensanalyser ved særlige behandlingskategorier

At være kontaktperson til myndighederne og til de registrerede

At håndtere sikkerhedsbrud – herunder indberetning til Datatilsynet og til registrerede, hvis oplysninger er

blevet kompromitterede

© 2016 Deloitte 14

Generelt: Dataansvarlige skal give et minimum af information til datasubjektet.

Format: kortfattet, gennemsigtige, klare og lettilgængelige samt tilpasset den enkelte målgruppes forståelsesniveau.

Indhold: Bl.a. identiteten samt kontaktoplysninger på DPO’en, opbevaringsperiodens varighed, oplysning om retten til at anmode om sletning

samt indsigt i de oplysninger, der behandles om ens person, klageret, cross-border dataoverførsel samt om data ikke er indhentet fra

datasubjektet selv.

Forordningen styrker datasubjektets rettigheder, da registrerede personer har krav på at få indsigt i den behandling, deres oplysninger

undergår. Sådanne indsigtsbegæringer fra registrerede skal besvares uden ugrundet ophold og senest inden for en måned.

Indsigtsbegæringer skal være omkostningsfrie for den registrerede.

Anbefaling: Review virksomhedens eksisterende politik vedrørende information til datasubjektet.

7. Information om behandling til datasubjektet

15© 2016 Deloitte

Ikke de store ændringer, men vil kræve en administrativ indsats i forbindelse med udfærdigelsen af relevante dokumenter.

Berørte sektorer:

Særlig forretninger, der agerer som

dataansvarlige.

8. Krav om samtykke

Samtykke skal være en klar bekræftelse, der indebærer en frivillig, specifik,

informeret og utvetydig tilkendegivelse

Tavshed, forudafkrydsede felter eller inaktivitet bør ikke udgøre samtykke

Samtykke til samtlige behandlingsformål

Anmodningen skal være klar, koncis og ikke unødigt forstyrre brugen af den

tjeneste, som samtykke gives til

© 2016 Deloitte 16

Indberetning til Datatilsynet:

Alene brud, som ”sandsynligvis vil medføre en høj risiko for enkeltpersoners rettigheder og frihed” (identitetstyveri),

skal indberettes til Datatilsynet uden ugrundet ophold og senest 72 timer efter, man er blevet opmærksom på det.

Det skal bemærkes, at pligten er strafsanktioneret.

Indhold:

Beskrivelse af hændelsens konsekvenser inklusiv antallet, kategorien samt volumen af data, som er blevet påvirket

af bruddet. Det skal endvidere oplyses hvilke foranstaltninger, der er taget for at løse problemet samt for at mindske

dets skadevirkninger.

Underretning af datasubjektet:

Den udløsende faktor for at underrette de berørte personer er den samme og skal ske uden unødigt ophold.

Underretningspligt kun såfremt bruddet ”sandsynligvis vil medføre en høj risiko for enkeltpersoners rettigheder og

frihed”.

Indhold:

Datasubjektet skal have viden om bruddets karakter og skal modtage kontaktoplysninger på en eventuel DPO.

Derudover skal den dataansvarlige vejlede datasubjektet om, hvilke handlinger de kan foretage for at mindske

konsekvensen af bruddet. Underretningen skal være klar og letforståelig.

Undtagelser:

Det er ikke nødvendigt at underrette datasubjektet i tilfælde hvor den dataansvarlige kan dokumentere at

tilstrækkelige sikkerhedsforanstaltninger er implementeret.

9. Indberetning til tilsyn og datasubjekt

17© 2016 Deloitte

10. Sanktioner

Eksempler

1. Første lovbrud for individer og små-virksomheder: en skriftlig advarsel

2. Overtrædelser begået af dataansvarlige og databehandlere kan sanktioneres

med bøder op til 10.000.000 EUR eller 2% af den globale omsætning.

3. Overtrædelser af de persondataretlige principper sanktioneres med en bøde på

op til 20.000.000 EUR eller 4% af den global omsætning.

4. Datatilsynet bestemmer, om offentlige myndigheder skal ifalde en bøde i

forbindelse med overtrædelse af forordningens bestemmelser.

6. Faktorer af betydning for bødestørrelsen er f.eks. karakteren, alvoren og

varigheden, gentagelsessituationer, omfanget af skaden, foranstaltninger taget

for at mindske skadesniveauet m.v.

7. Bødestørrelserne skal være effektive, proportionale samt afskrækkende. Før

var bødeniveauet på 3.000 – 10.000 kr. samt 25.000 kr. for grove

overtrædelser.

© 2016 Deloitte 18

Konklusion:

Handlingsplan og næste skridt

19© 2016 Deloitte

Start

forberedelserne

nu!

20© 2016 Deloitte

10 skridt til at blive klar til de nye regler

123

54

786

910

Dataklassifikation, relation til

kerneforretningen, data flow-analyse, hvor er

persondata?

Privacy impact assessment som del af

risikovurderingen

Identifikation, beskrivelse og

implementering af kontroller

Program for

databeskyttelsesansvarlig

Program for anmeldelse af

sikkerhedsbrud og beredskab

Program for måling og kontrol

Muligheder for anvendelse af Privacy Enhancing

Technologies – PET – Privacy by Design

Program for håndtering af

datasubjekters rettigheder

Program for awareness

Politik for behandling af

personoplysninger og privatlivets fred

Start med at

overholde gældende

lovgivning - GAP

analyse

© 2016 Deloitte 21

17. marts 2016

Janus Friis BindslevPartner, Cyber Risk Services

Mobil: 20 76 66 67

E-mail: jbindslev@deloitte.dk