Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
17. marts 2016
Grab’n Go: Session 2
EU’s persondataforordning
– og hvad så?!?
Introduktion
2© 2016 Deloitte
Rationale
Introduktion: Den nye EU-persondataforordning
© 2016 Deloitte 3
Behov for databeskyttelsesreform
Forskelle i håndhævelse og fortolkning
Forskelle i hastigheden
af lovgivnings-
mæssige opdateringer
Verden ændrer sig
Erstatter EU-direktiv 95/46/EC
Introduktion: Den nye EU-persondataforordning
• Europa-Parlamentets endelige afstemning og formelle
offentliggørelse forventes i 1. eller 2. kvartal af 2016
• Harmoniserer EU’s databeskyttelseslovgivning
• Giver en toårig og 20-dages implementeringsperiode
• Forbedrer den enkeltes rettigheder
• Tillader, at medlemslandene bevarer muligheden for at
indføre yderligere undtagelser for databehandling og
implementering af effektive kontroller
• Nogle medlemslande er allerede i gang med at ændre
deres love, så de er i overensstemmelse med
forordningens bestemmelser
Forordningen anvendes på:
Behandling af personoplysninger i forbindelse med aktiviteter, der gennemføres af en europæisk
dataansvarlig/databehandlers virksomhed uanset om behandlingen finder sted i EU.
Hvis behandlingsaktiviteterne vedrører:
• Udbud af varer eller tjenester til registrerede i EU, uanset om der kræves betaling fra den registrerede
• Overvågning af registreredes adfærd, hvis den finder sted i EU
Samt ved behandling af personoplysninger, som foretages af en dataansvarlig, der ikke er etableret i Unionen,
men et sted, hvor en medlemsstats nationale lovgivning gælder i medfør af folkeretten.
Forordningens anvendelsesområde
© 2016 Deloitte 5
Overblik over de vigtigste krav
6© 2016 Deloitte
Forordningens 10 vigtigste krav – skærpelser er på vej!
123
54
786
910
Borgernes ret til sletning
Privacy Impact Assessment
Skærpede dokumentationskrav
Krav om en
databeskyttelsesansvarlig
Samtykkekrav
Indberetningskrav til
Datatilsynet og underretning
af datasubjekt
Sanktioner
Information om
behandling til
datasubjektet
Privacy by
design
Dataportabilitet
© 2016 Deloitte 7
1. Borgernes ret til sletning
Formål: at give borgere øget kontrol med egne personoplysninger
Nuværende regler om sletning af data præciseres, hvilket betyder, at borgeren kan kræve, at
personoplysninger slettes. Brugeren kan dermed trække sit samtykke tilbage og kræve, at alle oplysninger om
dennes person slettes, såfremt der ikke foreligger andre legitime grunde til at opbevare personoplysningerne.
Den dataansvarlige forpligtes til at gøre tredjeparter opmærksomme på, at den registrerede ønsker
personoplysninger slettet. Dette medfører en ressourcebelastning for dataansvarlige.
Forordningen stiller krav om, at samtykke til virksomhedernes brug af personoplysninger skal gives udtrykkeligt
i form af en erklæring eller lignende.
Praktiske ændringer:
Transparent information til de registrerede om:
at det er frivilligt at give samtykke – frivilligt
hvad formålet med behandlingen er – informeret
afgrænsning af behandlingen – specifikt
at samtykket kan trækkes tilbage
Undtagelser: Retskravsreglen samt hensynet til ytringsfriheden.
© 2016 Deloitte 8
2. Dataportabilitet
Personer får lettere ved at kræve egne data udleveret.
Data skal udleveres i brugbart format - f.eks. Word eller Excel.
Personer får lettere ved at overføre personoplysninger fra én serviceudbyder til
en anden.
Begrænsning:
Kravet omfatter kun oplysninger afgivet af personen selv.
Forordningens regler giver
datasubjektet mulighed for at få
egne data overført til nye
serviceorganer.
Berørte sektorer:
Virksomheder og myndigheder
som modtager oplysninger afgivet
af rettighedssubjektet selv.
© 2016 Deloitte 9
© 2016 Deloitte 10
3. Krav til Privacy Impact Assessment
10
Privacy Impact
Assessment
=
Vurdering af effekten af
behandlingsaktiviteterne
med henblik på
beskyttelse af
personoplysninger
Hvornår• Behandling med høj risiko for frihedsrettigheder
• Før behandlingen
Påkrævet hvornår
• Systematiske og omfattende individuelle beslutninger (herunder profilering)
• Omfattende behandling af følsomme oplysninger
• Omfattende systematisk overvågning af offentligt tilgængelige steder
Indhold
• Beskrivelse af den planlagte behandlingsaktivitet og formål
• Vurdering af nødvendigheden og proportionaliteten af behandlingen
• Vurdering af risici
• Foranstaltninger taget i betragtning til minimering af risiciene
4. Privacy by Design
Dette tiltag tvinger virksomhed-erne til at sætte privacy på dagsordenen i forbindelse med nye produkter, designprocesser osv.
Berørte sektorer:
Alle forretningssektorer
Privacy by Design and Privacy by Default:
Princippet om ”Privacy by Design” bør implementeres, så privatlivets beskyttelse
indbygges i it-arkitekturen og inddrages i planlægningsfasen til nye procedurer og
systemer.
”By Default” betyder, at data kun må behandles, opbevares og indsamles i
overensstemmelse med, hvad der er nødvendig samt i overensstemmelse med det
oprindelige formål for indsamlingen.
Den dataansvarlige skal indføre passende mekanismer for at sikre, at kun nødvendige
data behandles.
Privacy/databeskyttelseshensyn skal tænkes ind i udviklingen af softwareløsninger.
© 2016 Deloitte 11
Databeskyttelsesansvarlig: På nuværende tidspunkt overlader rådet beslutningen om, hvorvidt det skal være obligatorisk
at udpege en databeskyttelsesansvarlig i private virksomheder til medlemslandene. For offentlige myndigheder er det
obligatorisk i alle medlemsstaterne.
Virksomhederne bliver tvunget til at kortlægge deres data og følgende skal dokumenteres: Politikker og procedurer,
procedurer for behandling af den registreredes rettigheder (hvem skal kontaktes hvornår), audits og intern undervisning
samt uddannelse af medarbejdere.
Formålet med forordningen er at minimere risikoen for krænkelser. Virksomhederne skal derfor kunne dokumentere de
overvejelser, de har gjort sig i forbindelse med overholdelsen. Kun de nødvendige data skal behandles i den givne
kontekst, slettefrister skal overholdes og kun de nødvendige personer skal have adgang til data. Alt dette skal kunne
dokumenteres.
5. Skærpede dokumentationskrav
12© 2016 Deloitte
Dette tiltag tvinger virksomhed-erne til at sætte privacy på dags-ordenen i forbindelse med nye produkter, design processer osv.
Berørte sektorer:
Alle forretningssektorer
6. Krav om en Databeskyttelsesansvarlig
– eller Data Protection Officer (DPO)
Forordningen indebærer en udvidelse af den dataansvarliges ansvar - især ved at
kræve, at de dataansvarlige udpeger en databeskyttelsesansvarlig, når:
Der er tale om en offentlig myndighed. Alle offentlige myndigheder, der behandler
personoplysninger, skal have en DPO. Domstole er undtaget.
Offentlige myndigheder med bred organisatorisk struktur kan nøjes med at udpege én
DPO, såfremt den organisatoriske struktur og størrelse tillader det.
Virksomhedens kerneaktiviteter i større omfang består af behandlingsaktiviteter, hvis
karakter, omfang eller formål kræver regelmæssig og systematisk overvågning af
registrerede - eller
Kerneaktiviteterne i en virksomhed i større omfang består af behandling af følsomme
personoplysninger, lokaliseringsoplysninger eller oplysninger om børn eller medarbejdere i
omfattende registre.
Koncerner kan udpege én DPO, der er ansvarlige for samtlige selskabers behandling af
personoplysninger.
© 2016 Deloitte 13
Krav til den databeskyttelsesansvarlige
DPO’en skal udpeges på baggrund af professionelle kvalifikationer og særligt på baggrund
af ekspertise inden for databeskyttelseslovgivning samt praksis.
DPO’en skal have særlig viden om persondatabeskyttelse.
DPO’ens uafhængighed skal sikres gennem særlige kontrakter – DPO tildeles ikke
tillidsmandsstatus.
DPO’ens opgaver er:
At informere og rådgive om de forpligtelser, der gælder ifølge forordningen
At sikre, at forordningens regler overholdes i den daglige drift
At overvåge, at regler og standarder overholdes - herunder fordeling af ansvar, oplysningskampagner og
uddannelse af medarbejdere
At rådgive om konsekvensanalyser ved særlige behandlingskategorier
At være kontaktperson til myndighederne og til de registrerede
At håndtere sikkerhedsbrud – herunder indberetning til Datatilsynet og til registrerede, hvis oplysninger er
blevet kompromitterede
© 2016 Deloitte 14
Generelt: Dataansvarlige skal give et minimum af information til datasubjektet.
Format: kortfattet, gennemsigtige, klare og lettilgængelige samt tilpasset den enkelte målgruppes forståelsesniveau.
Indhold: Bl.a. identiteten samt kontaktoplysninger på DPO’en, opbevaringsperiodens varighed, oplysning om retten til at anmode om sletning
samt indsigt i de oplysninger, der behandles om ens person, klageret, cross-border dataoverførsel samt om data ikke er indhentet fra
datasubjektet selv.
Forordningen styrker datasubjektets rettigheder, da registrerede personer har krav på at få indsigt i den behandling, deres oplysninger
undergår. Sådanne indsigtsbegæringer fra registrerede skal besvares uden ugrundet ophold og senest inden for en måned.
Indsigtsbegæringer skal være omkostningsfrie for den registrerede.
Anbefaling: Review virksomhedens eksisterende politik vedrørende information til datasubjektet.
7. Information om behandling til datasubjektet
15© 2016 Deloitte
Ikke de store ændringer, men vil kræve en administrativ indsats i forbindelse med udfærdigelsen af relevante dokumenter.
Berørte sektorer:
Særlig forretninger, der agerer som
dataansvarlige.
8. Krav om samtykke
Samtykke skal være en klar bekræftelse, der indebærer en frivillig, specifik,
informeret og utvetydig tilkendegivelse
Tavshed, forudafkrydsede felter eller inaktivitet bør ikke udgøre samtykke
Samtykke til samtlige behandlingsformål
Anmodningen skal være klar, koncis og ikke unødigt forstyrre brugen af den
tjeneste, som samtykke gives til
© 2016 Deloitte 16
Indberetning til Datatilsynet:
Alene brud, som ”sandsynligvis vil medføre en høj risiko for enkeltpersoners rettigheder og frihed” (identitetstyveri),
skal indberettes til Datatilsynet uden ugrundet ophold og senest 72 timer efter, man er blevet opmærksom på det.
Det skal bemærkes, at pligten er strafsanktioneret.
Indhold:
Beskrivelse af hændelsens konsekvenser inklusiv antallet, kategorien samt volumen af data, som er blevet påvirket
af bruddet. Det skal endvidere oplyses hvilke foranstaltninger, der er taget for at løse problemet samt for at mindske
dets skadevirkninger.
Underretning af datasubjektet:
Den udløsende faktor for at underrette de berørte personer er den samme og skal ske uden unødigt ophold.
Underretningspligt kun såfremt bruddet ”sandsynligvis vil medføre en høj risiko for enkeltpersoners rettigheder og
frihed”.
Indhold:
Datasubjektet skal have viden om bruddets karakter og skal modtage kontaktoplysninger på en eventuel DPO.
Derudover skal den dataansvarlige vejlede datasubjektet om, hvilke handlinger de kan foretage for at mindske
konsekvensen af bruddet. Underretningen skal være klar og letforståelig.
Undtagelser:
Det er ikke nødvendigt at underrette datasubjektet i tilfælde hvor den dataansvarlige kan dokumentere at
tilstrækkelige sikkerhedsforanstaltninger er implementeret.
9. Indberetning til tilsyn og datasubjekt
17© 2016 Deloitte
10. Sanktioner
Eksempler
1. Første lovbrud for individer og små-virksomheder: en skriftlig advarsel
2. Overtrædelser begået af dataansvarlige og databehandlere kan sanktioneres
med bøder op til 10.000.000 EUR eller 2% af den globale omsætning.
3. Overtrædelser af de persondataretlige principper sanktioneres med en bøde på
op til 20.000.000 EUR eller 4% af den global omsætning.
4. Datatilsynet bestemmer, om offentlige myndigheder skal ifalde en bøde i
forbindelse med overtrædelse af forordningens bestemmelser.
6. Faktorer af betydning for bødestørrelsen er f.eks. karakteren, alvoren og
varigheden, gentagelsessituationer, omfanget af skaden, foranstaltninger taget
for at mindske skadesniveauet m.v.
7. Bødestørrelserne skal være effektive, proportionale samt afskrækkende. Før
var bødeniveauet på 3.000 – 10.000 kr. samt 25.000 kr. for grove
overtrædelser.
© 2016 Deloitte 18
Konklusion:
Handlingsplan og næste skridt
19© 2016 Deloitte
Start
forberedelserne
nu!
20© 2016 Deloitte
10 skridt til at blive klar til de nye regler
123
54
786
910
Dataklassifikation, relation til
kerneforretningen, data flow-analyse, hvor er
persondata?
Privacy impact assessment som del af
risikovurderingen
Identifikation, beskrivelse og
implementering af kontroller
Program for
databeskyttelsesansvarlig
Program for anmeldelse af
sikkerhedsbrud og beredskab
Program for måling og kontrol
Muligheder for anvendelse af Privacy Enhancing
Technologies – PET – Privacy by Design
Program for håndtering af
datasubjekters rettigheder
Program for awareness
Politik for behandling af
personoplysninger og privatlivets fred
Start med at
overholde gældende
lovgivning - GAP
analyse
© 2016 Deloitte 21
17. marts 2016
Janus Friis BindslevPartner, Cyber Risk Services
Mobil: 20 76 66 67
E-mail: [email protected]