PERSONDATAFORORDNINGEN€¦ · Persondataforordningen i helikopterperspektiv Personoplysninger – Art 4 (1) • Definition: ”Enhver form for information om en identificeret eller

ISOBRO den 7. september 2017

PERSONDATAFORORDNINGEN

1 novi-attorneys.com

Fokus

• Hvad er der sket i DK siden sidst? • Persondataforordningen – baggrund, anvendelsesområde og undtagelser • Nogle af de væsentligste definitioner

Status og opsummering

• Lovlighed, rimelighed og gennemsigtighed • Formålsbegrænsning • Dataminimering • Rigtighed • Opbevaringsbegrænsning •  Integritet og fortrolighed

Ansvarlighed

• Almindelige personoplysninger • CPR-nummer • Oplysninger om strafbare forhold • Særlige kategorier af personoplysninger

Hjemmel til behandling af

personoplysninger novi-attorneys.com 2

Fokus

• Krav om fortegnelse • Forslag til udformning • ”At komme i gang”

Fortegnelse og compliance

proces

• Hvad er det? • Hvem kunne tænkes af få glæde af det?

Adfærdskodeks og certificering

• Standard databehandleraftale • Privatlivspolitik til brug på hjemmesider (udadvendt) • Privatlivspolitik vedr. behandling af medarbejderoplysninger (intern) • Overordnet politik for intern håndtering og behandling af oplysninger (dvs. om medlemmer,

kunder, medarbejdere, frivillige, mv.) • Overordnet slettepolitik • Overordnet struktur og forretningsgange for håndtering af datasubjektets rettigheder

Værktøjskasse

novi-attorneys.com 3

”Nyt” siden sidst

Status og kort opsummering



•  Betænkning om Databeskyttelsesforordningen – og de retlige rammer for dansk lovgivning

•  Betænkning nr. 1565 •  Sikre forordningens korrekte gennemførelse i dansk ret

•  Analysere rammerne for både indførelse og opretholdelse af nationale særregler

•  Danne grundlag for udarbejdelse af ny version af persondatalov – centralt fortolkningsbidrag til dette videre arbejde

•  Det retlige grundlag for udarbejdelse af praktisk anvendelige vejledninger

•  Betænkningens konklusion: Forordningen svarer i vidt omfang til den gældende retstilstand efter persondataloven og persondatadirektivet med tilhørende praksis fra fx EU-Domstolen og Datatilsynet

•  Justitsministerierne har i samarbejde med de enkelte ressortministerier vurderet eksisterende særlove og forenelighed med Forordningen – konklusionen er, at størstedelen af de identificerede bestemmelser om behandling af personoplysninger kan opretholdes

•  UDKAST til forslag til lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger af 7. juli 2017 tilgængelig på høringsportalen (høringsfrist var d. 22. august)

”Nyt” siden sidst


Status og kort opsummering ”Nyt” siden sidst


Baggrund, anvendelsesområde og undtagelser




•  EUROPA-PARLAMENTETS OG RÅDETS FORORDNING 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF

•  ”Forordning”

•  Træder i kraft i EU’s medlemsstater d. 25. maj 2018

•  Da det er en forordning, så direkte virkning i medlemsstaterne – dvs ingen national implementeringslov

•  Forventet øget harmonisering på tværs af EU – ”ens” sanktionering

•  MEN der åbnes op for nationale særregler på en lang række områder




Forordningens anvendelsesområde, jf. Art 2:

•  Personoplysninger

•  Automatisk databehandling (hel eller delvis)

•  Ikke-automatisk databehandling i registre (struktureret samling af personoplysninger, der er tilgængelig efter bestemte kriterier)



Svarer næsten til det vi kender


Undtagelser – Art 2, stk. 2

•  Aktiviteter, som falder uden for EU-retten

•  Aktiviteter inden for EU’s fælles udenrigs- og sikkerhedspolitik

•  Aktiviteter af personlig eller familiemæssig karakter

•  Anklagemyndighed, politi og domstole

Undtagelser eller særlige regler vedr. specifikke behandlingssituationer – Kapitel IX

•  Ytrings- og informationsfriheden, jf. Art 85

•  Aktindsigt, jf. Art 86

•  CPR-nr., jf. Art 87

•  Ansættelsesforhold, jf. Art 88

•  Arkivformål, videnskabelig, historiske eller statistiske formål, Art 89



Definitioner



Persondataforordningen i helikopterperspektiv

Personoplysninger – Art 4 (1)

•  Definition: ”Enhver form for information om en identificeret eller identificerbar fysisk person”

•  Identificerbar: ”fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en online-identifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet”

•  FX:

•  oplysninger om fysiske personer – hårfarve, bopæl, alder, arbejdsplads, genetiske oplysninger, billede, uddannelse, mv.,

•  oplysninger om kontaktpersoner hos samarbejdspartnere – fx e-mailadresse el. stilling •  oplysninger om bipersoner, fostre, optagelser fra overvågningskameraer, m.fl.

•  oplysning om en persons tidligere, nuværende og fremtidige fysiske eller psykiske tilstand samt medicinbrug og misbrug af narkotika, alkohol og lignende nydelsesmidler.

Definitioner



Behandling – Art 4 (2)

•  Definition: ”Enhver aktivitet eller række af aktiviteter med eller uden brug af automatisk behandling, som

personoplysninger eller en samling af personoplysninger gøres til genstand for” •  FX bl.a.:

Indsamling Registrering Brug/udnyttelse Organisering Opbevaring Tilpasning Samkøring Videregivelse Tekstbehandling Søgning Genfinding Formidling Overladelse Begrænsning Systematisering Ændring Tilintetgørelse Sletning

Definitioner



Dataansvarlig – Art 4 (7)

•  Definition: ”…der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler, der må foretages behandling af oplysningerne.”

- beslutningskompetencen i forhold til formål og hjælpemidler

-  udg.pkt. selve virksomheden, ikke enkeltpersoner

-  analyse baseret på faktiske forhold – ikke formelle titler i parternes aftaler

-  ansvarlig for overholdelse af størstedelen af GDPR

-  kontrol baseret på retlig forpligtelse

-  kontrol baseret på implicit kompetence, fx arbejdsgiver

-  kontrol baseret på faktisk indflydelse, fx opstået kvalificering som dataansvarlig

Definitioner



Databehandler – Art 4 (8)

•  Definition: ”…der behandler oplysninger på den dataansvarlige vegne.”

•  Databehandleren er den, som behandlingen af oplysningerne overlades til (direkte eller via remote access)

•  Databehandleren kan ikke disponere over oplysninger til egne formål eller uden den dataansvarliges accept

•  Det er fortsat den dataansvarlige, som er direkte ansvarlig overfor den registrerede, men databehandleren kan ifalde erstatningsansvar overfor de registrerede – kommer vi tilbage til

•  Brug af databehandlere forudsætter indgåelse af skriftlig databehandleraftale mellem den dataansvarlige og databehandleren

Definitioner og generelle principper



Samtykke ”…enhver frivillig, specifik, informeret og utvetyding viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling.”

•  Skal være:

•  frivilligt – uden tvang og baseret på reelt og frit valg, jf. betragtning 42. Videre kan ”klar” skævhed mellem den registrerede og den dataansvarlige bevirke, at samtykke ikke er frivilligt, navnlig hvor den dataansvarlige er en offentlig myndighed, ligesom samtykke ikke er frivilligt, hvis afgivelse er en betingelse for opfyldelse af en kontrakt eller ydelse af en tjeneste, jf. betragtning 43 og Art 7, stk. 4.

•  specifikt – hvilke oplysninger og til hvad

•  informeret – hvem behandler og hvordan

•  utvetydigt (nogen gange udtrykkeligt) – der skal ikke være tvivl om afgivelse eller omfanget af et samtykke

•  Ikke stiltiende eller indirekte - mulighed for udøvelse af kontrol gennem samtykke

•  Ikke krav om skriftlighed, med den dataansvarlige har bevisbyrden, jf. Art 7, stk. 1, så praktisk – ved følsomme oplysninger nok også nødvendigt

•  Den registrerede kan til enhver tid trække sit samtykke tilbage, jf. Art 7, stk. 3, OG man skal oplyse om denne mulighed i forbindelse med indhentelse af samtykke

•  Overvej om oplysningerne skal slettes efter tilbagekaldelse af samtykke, jf. Art 17, stk. 1, litra (b)

Definitioner


Ansvarlighedsprincippet



Ansvarlighed

Lovlighed, rimelighed og gennemsigtighed

Formålsbegrænsning

Dataminimering

Rigtighed

Opbevaringsbegrænsning

Integritet og fortrolighed

Generelle principper


ART

5 A

N S

V A

R L

I G

H E

D

ART

5 A

N S

V A

R L

I G

H E

D

Lovlighed, rimelighed og gennemsigtighed

Art 5, stk. 1, litra a

•  Personoplysningerne skal behandles lovligt, rimeligt og gennemsigtigt i forhold til den registrerede

•  Standard om god databehandlingsskik

•  Rimelig behandling forudsætter kendskab til behandlingens eksistens samt nøjagtig og fyldestgørende information

•  Skal altid overholdes – så man kan ikke fx omgå princippet ved et samtykke (fx anvendelse af kreditoplysninger ved stillingsbesættelse)

Ansvarlighed



Formålsbegræns-ning

Art 5, stk. 1, litra b

•  Indsamling skal ske til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål

•  Formålsbestemthed

•  Pligt til at fastlæggelse af formålet/ene

•  Formålet skal være tilstrækkeligt veldefineret og velafgrænset til at skabe åbenhed og klarhed om behandlingen

•  Saglighedskrav

•  Vis fleksibilitet for dataansvarlig til viderebehandling – hvad er forholdet mellem det oprindelig formål og formålet med viderebehandling? Ligger det indenfor, hvad den/de registrerede må forvente? Sammenhæng med Art 6, stk. 4

Ansvarlighed



Dataminimering

Art 5, stk. 1, litra c

•  Personoplysningerne skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til formålet/formålene

•  Oplysningernes art skal svare til det formål, der tilsigtes med behandlingen

•  Proportionalitetsvurdering – personoplysningerne skal om udgangspunkt kun behandles, hvis formålet med behandlingen ikke med rimelighed kan opfyldes på anden måde

•  ”Need to” ikke ”nice to”

Ansvarlighed



Rigtighed

Art 5, stk. 1, litra d

•  Personoplysningerne skal være korrekte og om nødvendigt ajourførte

•  Ethvert rimeligt skridt til sikring af at personoplysninger, der er urigtige i forhold til formålet, straks slettes eller berigtiges – hvor hurtigt der rent faktisk skal foretages berigtigelse afhænger af karakteren af de behandlede oplysninger

•  Datakvalitet er afgørende

•  Dataansvarlige skal ligeledes sikre, at der ikke (kan) registreres urigtige eller vildledende oplysninger

Ansvarlighed



Opbevarings-begrænsning

Art 5, stk. 1, litra e

•  Opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede længere end nødvendigt af hensyn til formålet (sletning)

•  Konkret vurdering – overvej anden lovhjemmel/retlig forpligtelse, nødvendighed, osv.

•  Forudsætter generelle kriterier for, hvor længe den dataansvarlige må opbevare identificerbare oplysninger

•  Hvis generelle (saglige) slettefrister, så i dag ikke krav om konkret vurdering af opbevaring af personoplysninger i sager

•  Sletning = at oplysningerne uigenkaldeligt fjernes fra alle lagringsmedier

Ansvarlighed



Integritet og fortrolighed

Art 5, stk. 1, litra f

•  Tilstrækkelige tekniske og organisatoriske foranstaltninger

•  Fastlægger overordnet princip om behandlingssikkerhed

•  Udfyldes af Art 32 som præciserer kravene til behandlingssikkerhed

•  Alle behandlinger forudsætter en risikoanalyse

•  Der skal indføres passende tekniske og organisatoriske foranstaltninger under hensyntagen til:

•  Det aktuelle tekniske niveau og gennemførelsesforanstaltningerne

•  Behandlingens karakter, omfang, kontekst og formål og risikoen for den registreredes rettigheder og frihedsrettigheder ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er videregivet, opbevaret eller på anden måde behandlet

Ansvarlighed



Ansvarlighed

Princippet om ansvarlighed – Art 5

Art 24 indeholder den generelle bestemmelse

om den dataansvarliges ansvar:

•  den dataansvarlige skal gennemføre tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandlingen er i overensstemmelse med forordningen – revisions- og ajourføringspligt

•  kan blandt andet omfatte implementering af databeskyttelsespolitikker



Den dataansvarlige er ansvarlig for og skal kunne påvise at alle principperne

for behandling af personoplysninger indeholdt i

Art 5 overholdes, jf. Art 5, stk. 2

Almindelige oplysninger, CPR-nummer, strafbare forhold og særlige kategorier af oplysninger

Hjemmel til behandling af personoplysninger


Særlige kategorier af personoplysninger – Art 9

•  Race eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning

•  Fagforeningsmæssigt tilhørsforhold

•  Genetiske eller biometriske data hvis behandling med henblik på identifikation

•  Helbredsoplysninger

•  Seksuelle forhold / seksuel orientering

Almindelige personoplysninger – Art 6

•  Alle andre oplysninger end de særlige

særlige kategorier af oplysninger – dog ikke CPR-nr. eller oplysninger om strafbare

forhold

Hjemmel til behandling af personoplysninger Almindelige oplysninger, CPR-nummer, strafbare forhold og særlige kategorier af oplysninger





Særlige kategorier

Strafbare forhold

CPR-nummer

Almindelige personoplysninger

Økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold, bolig, bil, eksamen, ansøgning, CV, ansættelsesdato, stilling,

arbejdsområde, arbejdstelefon, stamoplysninger: navn, adresse, fødselsdato

Race eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, genetiske eller biometriske data hvis behandling med henblik på identifikation, helbredsoplysninger, seksuelle forhold / seksuel orientering

Art 9

Art 10 + DB-lov § 8, stk. 3 og 4

§ 11 i DB-lov

Art 6


Behandling af ikke-følsomme oplysninger - Art 6, stk. 1 – behandling er lovlig, såfremt ét af nedenstående forhold gør sig gældende:

a)  Samtykke til behandling til et eller flere formål

Betingelser for samtykke, jf. Art 7:

•  frivilligt – specifikt – informeret - utvetydigt

•  Dataansvarlig skal kunne påvise, at der er givet samtykke, dvs. dokumentationsforpligtelse

•  Ved skriftligt samtykke, så skal selve samtykket klart kunne skelnes fra ”de andre forhold” (f.eks. ikke indeholdt i almindelige betingelser for brug af netbank, kundeaftaler, kundeklubber, osv.)

•  Samtykke til forskellige / hver enkelt behandlingsaktivitet

•  Kan altid trækkes tilbage

•  I forhold til vurdering af frivillighed, så lægges der vægt på, om opfyldelse af en kontrakt, herunder om en tjenesteydelse, er gjort betinget af samtykke til behandling af personoplysninger, som ikke er nødvendig for opfyldelse af kontrakten.




Art 6, stk. 1 (fortsat) – behandling er lovlig, såfremt ét af nedenstående forhold gør sig gældende:

Behandling er nødvendig af hensyn til:

b)  Opfyldelse af aftale eller gennemførelse af foranstaltninger på den registreredes anmodning forud for indgåelse af aftale (fx behandling af oplysninger om medlemmer og bidragsydere)

c)  Retlig forpligtelse (fx indberetning til Skat)

d)  Vitale interesser (medicinsk nødssituation)

f) ”Legitim interesse” hos dataansvarlig eller 3. mand, mm. den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, går forud herfor, navnlig hvis den registrerede er et barn




Art 6, stk. 1, litra (f) – interesseafvejningsreglen

”Legitime interesser”, jf. betragtningerne 47-49:

Forudsætter ”nøje vurdering af, om en registreret på tidspunktet for og i forbindelse med indsamling af personoplysningerne med rimelighed kan forvente, at behandling med dette formål kan finde sted.”

Eksempler:

•  Kunde hos dataansvarlig (”client”)

•  Gør tjeneste under (”in the service of the controller”)

•  Behandling til direkte markedsføring

•  Videregivelse inden for koncerner til interne administrative formål af kunders og medarbejderes personoplysninger

•  Behandling i forbindelse med sikkerhedstiltag



CPR-nr. - § 11 i udkast til forslag til databeskyttelseslov:

•  samtykke

•  retlig forpligtelse

•  nødvendig til entydig identifikation hos modtager

•  hjemmel i Art 9

Oplysninger om straffedomme og lovovertrædelser – Art 10 og § 8, stk. 3 og 4 i udkast til forslag til databeskyttelseslov:

•  kun under kontrol af offentlig myndighed eller med hjemmel i lov eller EU-ret

•  samtykke

•  berettiget interesse, som klart overstiger hensynet til den registrerede

•  hjemmel i medfør af Art 9, stk. 2, litra a (samtykke), c (vitale interesser), d (politiske, filosofiske, religiøse eller fagforeningsmæssige sammenslutninger (non-profit)), e (tydeligvis offentliggjort) eller f (retskrav)

Hjemmel til behandling af personoplysninger Almindelige oplysninger, CPR-nummer, strafbare forhold og særlige kategorier af oplysninger



Behandling af særlige kategorier af personoplysninger – Art 9

Hovedregel: FORBUD, jf. Art 9, stk. 1

Undtagelse: ikke forbudt, hvis et af nedenstående forhold gør sig gældende, jf. Art 9, stk. 2:

a)  Udtrykkeligt samtykke til et eller flere specifikke formål

b)  Nødvendig behandling på det arbejds-, sundheds- eller socialretlige område og, der er hjemmel i lov eller kollektiv overenskomst

c)  Vitale interesser

d)  Behandling foretages af organ med politisk, filosofisk, religiøst eller fagforeningsmæssigt sigte vedr. organets medlemmer, tidligere medlemmer el. personer, som man er i regelmæssig kontakt med. Videregivelse kræver samtykke. Kun non-profit

e) Oplysningerne er tydeligvis offentliggjort af den registrerede selv

f)  Behandling er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares, eller når en domstol handler i egenskab af domstol

j) Nødvendig i samfundets interesse til arkivformål, videnskabelig eller historiske forskningsformål eller statiske formål



Fortegnelse over behandlingsaktiviteter

Fortegnelse og complianceproces




35

For dataansvarlige, jf. Art 30, stk. 1 • Fortegnelse over behandlingsaktiviteter

• Den dataansvarliges/den dataansvarliges eventuelle repræsentanters/DPO’ens navn og kontaktoplysninger

• Behandlingens formål

• Kategorier af registrerede og persondata

• Kategorier af modtagere af persondata

• Tredjelandsoverførsler og grundlaget herfor (herunder dokumentation for fornødne garantier i relation til overførsler efter art. 49, stk. 1, 2. afsnit)

• Sletteregler

• Tekniske og organisatoriske sikkerhedsforanstaltninger

For databehandlere, jf. Art 30, stk. 2 • Fortegnelse over alle kategorier af behandlingsaktiviteter

• Databehandlerens/databehandlerens eventuelle repræsentanters

navn og kontaktoplysninger

• Kategorier af databehandling

• Tredjelandsoverførsler og grundlaget herfor (herunder dokumentation for fornødne garantier i relation til overførsler efter art. 49, stk. 1, 2. afsnit)

• Tekniske og organisatoriske sikkerhedsforanstaltninger

novi-attorneys.com

Fortegnelserne skal være skriftlige + elektroniske kan kræves udleveret af tilsynsmyndigheden

Gælder ikke hvis mindre end 250 ansatte MM behandlingen sandsynligvis vil medføre en risiko for registreredes rettigheder og frihedsrettigheder, behandlingen ikke er lejlighedsvis, ELLER behandlingen omfatter særlige kategorier af oplysninger eller oplysninger om strafbare forhold

Fortegnelse og complianceproces Fortegnelse over behandlingsaktiviteter







Justitsministeriet siger:

•  Undtagelsesmulighederne i Art 30, stk. 5 er begrænsede

•  Fortegnelseskravet er ikke tiltænkt som en belastning

•  Fortegnelseskravet medfører ikke i sig selv et krav om udarbejdelse f større analyser af datastrømme m.v.



1 • Etablering af projektorganisation

2

• Projektplanlægning og scope – forordningen gælder som udg. pkt. for alle behandlingsaktiviteter - ”the full monty”

3

• Persondata due diligence / kortlægning via interviews

4 • Gap analyse – juridisk og teknisk

5 • Forberedelse af de anbefalede/vedtagne nye tiltag

6 •  Implementering og launch

7 • Vedligeholdelse af compliance set-up

Fortegnelse og complianceproces Compliance i praksis


Ledelsesforankring Udpege styregruppe Allokering af nødvendige ressourcer internt, hænder, økonomisk og systemmæssigt

Hvilke(n): Dataansvarlige/databehandlere, kategorier af persondata, formål, videregivelse af data, iagttagelse af regler vedr. registreredes rettigheder, transparens, sikkerhedsmæssige aspekter - it-mæssige såvel som organisatoriske, særlige risici, gennemgang af databehandleraftaler, m.v.

Identificer gaps i eksisterende complianceniveay baseret på gennemgang af indsamlet materiale. Tilrettelæggelse af dokumentation og strategier mv. for fremtidig compliance,. Vurder/foretag risikoanalyser, overveje nødvendigheden af konsekvensanalyser. Anbefalinger for fremadrettede tiltag

Forretningsgange, politikker, ansættelseskontrakter, DPO, dokumentation, konsekvensanalyser, sikker-hedsberedskab, mv. Forhandlinger med kunder- og leverandører, nye databehandleraftaler, samtykker, m.v.

Udrulning i organisationen – træningsprogram og implementer de nye forretningsgange og procedurer

Procedure til dokumentation af løbende overholdelse (revision), uddannelse, beredskab til kontrolbesøg, m.v.

Tidsplan og projektforløb

Adfærdskodekser


Persondataforordningen art. 40

Hvad er et adfærdskodeks?

•  Kodeks, udarbejdet af sammenslutninger eller andre organer, der repræsenterer kategorier af dataansvarlige eller databehandlere som specificerer, hvordan persondataforordningen skal anvendes, jf. art. 40.

•  Dvs. f.eks. en brancheforening kan udarbejde et adfærdskodeks for, hvordan dens medlemmer konkret skal overholde kravene i persondataforordningen.

•  Det SKAL tilføre reglerne i forordningen noget ”reelt”

•  Formålet er at sikre en effektiv anvendelse af forordningen – særligt indenfor bestemte brancher eller i bestemte virksomheder, hvor efterlevelsen ellers kan være forbundet med praktisk besvær og omkostninger.

•  Af samme årsag indeholder forordningen en (ikke-udtømmende) liste over, hvad et adfærdskodeks kan specificere. Se art. 40, stk. 2, litra a-k.

Adfærdskodekser i dag

•  Adfærdskodekser kendes allerede fra persondatadirektivet og persondataloven, men har næsten ingen praktisk betydning haft indtil videre – i Danmark har meget få organisationer henvendt sig til den relevante myndighed (Datatilsynet) og ingen af disse har hidtil fået godkendt deres adfærdskodeks. På EU-niveau er kun ét adfærdskodeks blevet godkendt.

•  Baggrunden for manglende succes er nok kravet om, at kodekset reelt skal tilføre noget, som i øvrigt skal kunne ”kontrolleres” + opnåelse af enighed kan være svært




Hvordan udarbejdes et adfærdskodeks?

•  Ifølge Justitsministeriet er det næppe tilstrækkeligt at have en generel viden om forordningen eller IT-sikkerhed.

•  Derimod er det ved kombinationen af indsigt i forordningen sammen med den såkaldte situationsnære viden, at et effektivt adfærdskodeks udarbejdes. Den situationsnære viden er kendskabet til de praktiske omstændigheder for kodeksets genstand.

•  Hvis den situationsnære viden ikke inddrages, risikerer man, at adfærdskodekset nok er i overensstemmelse med forordningen men ikke i praksis bliver efterlevet af dem, der i deres daglige arbejde skal overholde kodekset.

•  Omvendt kræves også indsigt i forordningen for at sikre, at kodekset overholder denne.

•  Relevante interessenter – herunder for så vidt muligt de registrerede – bør høres som led i udarbejdelsen, og der bør tages hensyn til disses bemærkninger og synspunkter. Ved at høre f.eks. en relevant interesseorganisation sikres kodeksets kvalitet.



Hvad skal et adfærdskodeks indeholde?

•  Specifikationer af, hvordan et eller flere af forordningens bestemmelser konkret skal efterleves fx i forhold fælles regelsæt for:

•  indsigtsret

•  meddelelse om brud på datasikkerhed

•  Mekanismer, der muliggør en kontrol med adfærdskodeksets overholdelse i overensstemmelse med reglerne om adfærdskodeksers kontrolorganer i art. 41


Hvorfor bruge adfærdskodekser?

•  Overholdelse af et godkendt adfærdskodeks kan anvendes til at påvise overholdelse af den dataansvarliges forpligtelser efter persondataforordningen, jf. art. 24, stk. 3.

•  Reglerne i et godkendt adfærdskodeks kan hjælpe de omfattede virksomheder/organer med at implementere forordningens krav i praksis.

•  Hvis reglerne i et godkendt adfærdskodeks har været fulgt, kan dette medvirke til at reducere en bødes størrelse, jf. art. 83, stk. 2, litra j.

Hvem udarbejder adfærdskodekser?

•  Adfærdskodekser udarbejdes ikke af myndighederne, men derimod af sammenslutningerne (brancheorganisationerne) selv.

•  Tilsynsmyndigheden (Datatilsynet) skal derimod afgive udtalelse om et givent udkast til adfærdskodeks overholder forordningen, hvis myndigheden modtager et sådant, ligesom myndigheden skal godkende udkastet, hvis det sikrer tilstrækkelige garantier for overholdelse af forordningen, jf. art. 40, stk. 5.




Hvem kontrollerer overholdelsen af et adfærdskodeks?

•  Persondataforordningen sondrer mellem, at tilsynsmyndigheden fører tilsyn med overholdelse af forordningen, mens kontrollen med overholdelsen af et adfærdskodeks påhviler et kontrolorgan.

•  Tilsynsmyndigheden kan også føre tilsyn, hvor adfærdskodekset og forordningen ”overlapper”, da myndigheden skal sørge for forordningens overholdelse. Konkrete regler der ikke fremgår af forordningen kontrolleres derimod kun af kontrolorganet.

•  Et kontrolorgan kan være et hvilket som helst organ, som overholder forordningens krav til kontrolorganer. Dvs. et organ, der

1) har et passende ekspertniveau for så vidt angår kodeksets genstand, og

2) er akkrediteret til dette formål af tilsynsmyndigheden.

•  Et organ opfylder disse to krav (dvs. kan blive akkrediteret), når det

1)  har påvist sin uafhængighed og ekspertise angående kodeksets genstand

2)  har fastlagt procedurer, der gør det muligt for organet at vurdere ansøgeres egnethed til at deltage i kodekset, kontrollere overholdelsen af kodekset og regelmæssigt vurdere kodeksets virkemåde

3)  har fastlagt procedurer for behandling af klager over overtrædelser af kodekset eller gennemførelsen af dette

4)  har påvist overfor tilsynsmyndigheden, at organets opgaver og pligter ikke fører til en interessekonflikt.

•  Opfyldelsen af kravene skal dokumenteres overfor tilsynsmyndigheden.

Certificering




Hvad er certificering i persondataforordningens forstand?

•  Efter persondataforordningens art. 42 skal der kunne opnås certificering (mærkning) for, at dataansvarliges og databehandleres behandlingsaktiviteter overholder persondataforordningens krav

•  Dvs. at det som udgangspunkt kun er selve behandlingen, der kan certificeres – ikke f.eks. teknisk udstyr eller personer

Hvad er formålet med certificering?

•  Et velkendt certifikat for overholdelse er persondataforordningen vil kunne være en hjælp til de registrerede (f.eks. forbrugere) ift. at vurdere databeskyttelsesniveauet hos eksempelvis en tjenesteyder – og vil dermed også kunne blive et konkurrenceparameter for virksomheder og organisationer.

•  En forudgående certificering kan derudover potentielt reducere en senere administrativ bøde, jf. art. 83, stk. 2, litra j.

Hvem udsteder certificeringer?

•  Certificeringer kan udstedes af et akkrediteret certificeringsorgan som angivet i art. 43 eller af tilsynsmyndigheden – i begge tilfælde på grundlag af kriterier, der er godkendt af tilsynsmyndigheden.



Hvordan opnås certificering?

•  De nøjagtige kriterier for certificering kendes ikke på nuværende tidspunkt.

•  Vil formentlig blive fastlagt af Kommissionen gennem delegerede retsakter (jf. art. 43, stk. 8) – men dette udelukker ikke, at de nationale tilsynsmyndigheder såsom Datatilsynet kan fastsætte nationale kriterier. Dette udestår dog også pt.

•  Det fremgår dog allerede af art. 42, stk. 6, at en ansøger (dataansvarlig eller databehandler) skal give certificeringsorganet eller tilsynsmyndigheden alle oplysninger og adgang til de behandlingsaktiviteter, der er nødvendige for at gennemføre certificeringsproceduren.

•  Tidsbegrænsning og tilbagekald: En certificering kan højest udstedes for en periode på tre år. Den kan forlænges på de samme betingelser, så længe de relevante krav stadig er opfyldt. Hvis kravene på et tidspunkt ikke er opfyldt, kan certificeringen trækkes tilbage af tilsynsmyndigheden også inden gyldighedsperiodens udløb.

Certificering som beskyttelse mod kontrol?

•  Certificering kan ikke indskrænke tilsynsmyndighedens opgaver og beføjelser. Den dataansvarlige og databehandleren skal derfor stadig overholde forordningen og kan blive ført tilsyn med, efter certificering er opnået.



Kort om certificeringsorganer

•  Certificeringsorganer minder om kontrolorganer ift. adfærdskodekset i art. 41-42, idet de akkrediteres som så af tilsynsmyndigheden, når de har:

1)  Påvist deres uafhængighed og ekspertise mht. certificeringens genstand,

2)  Påtaget sig at påse ansøgerne opfyldelse af de (endnu ikke fastsatte) kriterier for certificering,

3)  Fastlagt procedurer for udstedelse, regelmæssig revision og tilbagetrækning af certificeringer,

4)  Fastlagt procedurer for behandling af klager over overtrædelser af certificering eller den måde, hvorpå certificering er sket, samt hvordan disse procedurer gøres gennemsigtige for registrerede og offentligheden, og

5)  Demonstreret at deres opgaver og pligter ikke fører til en interessekonflikt.

•  Dertil skal et certificeringsorgan ikke blot have ekspertise inden for databeskyttelse generelt, men også for så vidt angående dét, certificeringen specifikt retter sig imod.

•  Justitsministeriet understreger, at der således må stilles ”ret høje krav” til et certificeringsorgan.

Værktøjskasse


Værktøjskasse

• Standard databehandleraftale ud fra en dataansvarlig vinkel til anvendelse overfor leverandører Databehandleraftale

• Udadvendt i forhold til bidragsydere og medlemmer • Indadvendt i forhold til ”ansatte” i organisationen og deres behandling af personoplysninger om medlemmer, bidragydere, osv.

• Indadvendt i forhold til behandling af oplysninger om ansatte (tillæg til personalehåndbogen) Privatlivspolitikker

• Generel rammepolitik til beskrivelse af organisationens tidsfrister for opbevaring og sletning af data Slettepolitik

• Proces for håndtering og besvarelse af indsigtsbegæringer • Information til registrerede og til brug for kommunikation med registrerede i forbindelse med indsigtsbegæringer Rettighedskatalog


Spørgsmål og diskussion


+45 2670 7379

[email protected]

novi-attorneys.com

54

Tanja Blichfeldt Johnsen

novi-attorneys.com

Documents

PERSONDATAFORORDNINGEN€¦ · Persondataforordningen i helikopterperspektiv Personoplysninger – Art 4 (1) • Definition: ”Enhver form for information om en identificeret eller