Person-data
Side 1
EU-persondataforordningen –
væsentligste ændringer og praktiske konsekvenser for virksomheder
Netværksmøde den 9. februar 2017Advokat, partner Jesper Langemark
Velkommen
● 8.55 : Vi sætter os ned (ikke før)
● 9:00: Velkommen ved Claus Sølvsteen, Peytz
● 9:05: Jesper Langemark, Bird & Bird
● 9:45: Et kvarters pause
● 10:45: Tak for i dag
Side 3
Om Bird & Bird
● 28 kontorer i 21 lande
● 2 kontorer i Danmark
● 1.200 advokater
● International Privacy & Data Protection Group
Side 4
Agenda1. Forordningen i helikopterperspektiv
2. Sanktioner
3. Forordningens nye dokumentationskrav
4. Nye, skærpede sikkerhedskrav
5. Data Protection Officers
6. Hvordan gribes compliance arbejdet an?
7. Databehandleraftaler
8. Quiz Side 5
Overblik over forordningen
● Afløser den 16 år gamle persondatalov
● Finder anvendelse fra den 25. maj 2018
● Udvider beskyttelsen af personlige oplysninger
● Udvider virksomhedernes forpligtelser
● Indfører nye rettigheder− "The right to be forgotten", forbud mod automatisk
profilering, dataportabilitet, m.fl.
● Skærpet bødeniveau
Side 6
A quick comparison…
Page 7
291% increase
240 % increase
240 % increase
From local to global
From member states to Europe
DP Directive 95/46/EC
General DP Regulation
34 articles 99 articles72 recitals 173 recitals8 definitions 19 definitionsscope extends to local processing
scope extends to global processing
effective through national DP Acts
directly effective
varied national guidance & enforcement
centralized enforcement and guidance
Enforcement patchy
Fines of 4% worldwide turnover
From little enforcement to a lot
”Top-10” over væsentligste ændringer
1. Udvidet territorialt anvendelsesområde
2. Skærpede krav til behandlingshjemmel
3. Nye dokumentationskrav
4. Styrkelse af de registreredes rettigheder
5. Privacy by design, privacy by default og krav om risikovurderinger
6. Pligt til udpegning af Data Protection Officer i visse tilfælde
Side 8
”Top-10” - fortsat
7. Underretningspligt ved sikkerhedsbrud
8. Brug af databehandlere og krav til databehandlere
9. Overførsel til tredjelande
10. Håndhævelse, "one-stop shop" og sanktioner
Side 9
Sanktioner
De skærpede sanktioner – nok den væsentligste konsekvens…● Virksomheder behandler eksponentielt stigende mængder af
personoplysninger
● Personoplysninger er for mange virksomheder et væsentligt aktiv og persondatabehandling afgørende for virksomhedens drift
● Den øgede datamængde og vigtigheden heraf for virksomhederne på den ene side og Forordningens skærpede sanktioner på den anden er i praksis den væsentligste konsekvens for virksomhederne;− Overholdelse af reglerne bliver forretningskritisk og dermed et
ledelsesanliggende
− Det bliver endvidere væsentligt for vurderingen af virksomhedens værdi – og et centralt tema i virksomhedshandler
● "Compliance by chance" is no longer an option!
Side 11
● Erstatning
− Alle, der lider tab som følge af en overtrædelse, kan kræve erstatning
− Omvendt bevisbyrde!
• Dataansvarlig eller databehandler kan/skal helt eller delvist fritages for erstatningsansvar, hvis de:– beviser, at de ikke er ansvarlige for hændelsen, der medførte skaden
− Tab skal stadig bevises, men
− 'Tort erstatning' for ikke økonomisk skade er en mulighed
− Mulighed for gruppesøgsmål fra registreredeSide 12
● Bøder
• Op til EUR 20m eller 4% af årlig globale omsætning– Afhængigt af hvad der er højest
• Tage højde for: grovheden, skades størrelse, gentagelse m.v.
• Niveauet er væsentligt forøget i forhold til tidligere
• Sanktioner skal være afskrækkende
• Ensartede i hele EU
●Bøder kan udstedes administrativt – dog ikke i Danmark
Side 13
Oversigt over bødeniveau
Side 14
Sanktioner
Anmeldelse af sikkerhedsbrud til Datatilsynet
− Uden ugrundet ophold og ikke senere end 72 timer
● Orientering til datasubjekterne
− Hvor der er “høj risiko” for datasubjekterne− Uden ugrundet ophold
Side 15
Side 16
Hacker puts up 167 Million LinkedIn Passwords for SaleWednesday, May 18, 2016
LinkedIn's 2012 data breach was much worse than anybody first thought.
In 2012, LinkedIn suffered a massive data breach in which more than 6 Million users accounts login details, including encrypted passwords, were posted online by a Russian hacker.
Now, it turns out that it was not just 6 Million users who got their login details stolen.
http://thehackernews.com/2016/05/linkedin-account-hack.html
Nye krav til dokumentation
● Anmeldelsessystemet afskaffes – ”prisen” er øgede krav til dokumentation, gennemsigtighed og egenkontrol
● Virksomhedens persondatabehandling skal dokumenteres!
● Den dataansvarlige skal opfylde to overordnede dokumentationskrav:
1. Dokumentere, at behandling af personoplysninger er i overensstemmelse med forordningens generelle principper
2. Dokumentere, at der er iværksat passende tekniske og organisatoriske foranstaltninger til beskyttelse af personoplysninger
Side 18
● Hvordan?
− 'fortegnelse' over behandlingsaktiviteter
− Passende procedure for håndtering af de registreredes rettigheder
− Udarbejdelse af intern persondatapolitik samt sikkerhedspolitik
− Løbende ajourføring
Side 19
• Fortegnelsen over behandlingsaktiviteter skal indeholde oplysninger om:
• Navn og kontaktoplysninger til:– Dataansvarlig(e),– Evt. DPO og evt. repræsentant
• Formål med behandlingen• En beskrivelse af kategorier af datasubjekter og datatyper• Kategorier af datamodtagere• Overførsler til tredjelande• Tidsgrænser for sletning• Overordnet beskrivelse af teknisk og organisatorisk sikkerhed
Også et krav for databehandlere, men mindre omfattende
Side 20
● Den dataansvarlige skal have passende foranstaltninger (reelt procedurer), som sikrer håndteringen af:− Alle datasubjekternes rettigheder, bl.a.:
• Orienteringspligt til datasubjekterne• Indsigtsret• Ret til berigtigelse• Indsigelsesret
● Henvendelser vedrørende rettigheder− Tidsfrist for besvarelse – uden unødigt ophold og inden 1 måned− Hvis ønske afvises
• Begrundes • Klagemulighed og mulighed for retssag skal beskrives
Side 21
● Almindelig risikovurdering og Data Protection Impact Assesment – skal dokumenteres
→ Bør altid foreligge skriftligt! (For DPIA et udtrykkeligt krav)
● Sikkerhedsbrud – skal også dokumenteres
Side 22
Nye, skærpede sikkerhedskrav
Artikel 22: Dataansvarlig skal implementere 'passende tekniske og organisatoriske sikkerhedsforanstaltninger' og kunne bevise dette overfor myndighederne.
• En del af den øgede dokumentationspligt (til gengæld afskaffes anmeldelsespligten)
− Hvad er passende? (afvejning mellem risiko, state of the art og omkostninger)
Side 24
● Pligt til at foretage risikovurdering, dvs. en vurdering af risici forbundet med behandlingen
• Persondataforordningens artikel 32, stk. 1: "Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici"
● Har altid skulle foretages!− Men ofte overset
● DPIA (Data Privacy Impact Assessment)− Særligt omfattende risikovurdering − Kræves, hvis der er særlige risici
• Fx. brug af ny teknologi (cloud, big data m.v.), automatiseret behandling/profilering af økonomiske forhold eller følsomme oplysninger
● Leverandørens (databehandlerens) rolle
● Brug af sikkerhedsstandarder – ISO 27000-serien f.eks.
Side 25
Dansk Industris vejledning om DPIA
Side 26
Anmeldelse af brud på persondatasikkerhed ● Hvad er et brud på persondatasikkerheden?
− "Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet."
− Meget bred definition
Side 27
Anmeldelse af brud på persondatasikkerhed Eksempler:
• Organisatorisk fejl– Adgang for personer uden behov
• Menneskelige fejl– Offentliggørelse af personoplysninger på internettet som følge af
fejl eller uvidenhed om, hvad der må offentliggøres, eller som følge af utilstrækkelig anonymisering mv.
• Utilstrækkelige eller fejlbehæftede it-løsninger– Manglende kryptering af formularer på hjemmesider til brug for
fremsendelse af følsomme oplysninger
• Kriminelle handlinger– Hackerangreb– Identitetstyveri– Industrispionage eller terrorSide 28
Anmeldelse af brud på persondatasikkerhedOrientering til tilsynsmyndighederne
Uden ugrundet ophold og ikke senere end 72 timer Redegøre for:
• Sikkerhedsbruddets karakter
• Konsekvenser af sikkerhedsbruddet
• Hvordan skaden er/vil blive søgt begrænset af den dataansvarlige
• Kontaktoplysninger på dataansvarlig (evt. DPO)• Dokumentere alle relevante forhold omkring sikkerhedsbruddet,
så myndigheden kan vurdere, om forordningen er overholdt
U: Usandsynligt at der er en risiko
Side 29
Anmeldelse af brud på persondatasikkerhedOrientering til datasubjekterne
Kun hvor der er høj risiko for datasubjekterne Uden ugrundet ophold Redegøre i letforståeligt sprog for:
• Konsekvenser af sikkerhedsbruddet • Anbefalinger til hvordan datasubjektet kan begrænse skaden• Kontaktoplysninger til dataansvarlig (evt. DPO)
Ingen pligt, hvis:
• Data er gjort ’uforståelige’ fx ved stærk kryptering• Den dataanvarlige har ‘fjernet’ risiko• Uforholdsmæssigt besværligt
– Men så krav om offentlig kommunikation (fx. annoncer)
Procedure for sikkerhedsbrud bør være del af sikkerhedspolitikSide 30
Privacy by Design/Default
● By design− Alle nye teknologier, produkter og services, der
behandler persondata, skal designes med persondatasikkerhed og overholdelse af forordningen in mente
● By default− Persondatabeskyttelse skal være udgangspunktet
• Kun relevante data indsamles og behandles • Data kan ikke gemmes længere end nødvendigt• Kun relevante personer har adgang til data
Side 31
Privacy by Design/Default● Eksisterende IT-løsninger
− Understøttes privacy by design/default?− Hvis ikke - kan det bringes til at understøtte dette?
• Hvilket arbejde/hvilke omkostninger er der forbundet med dette?• Hvor lang levetid har den pågældende it-løsning tilbage?
● Nye IT-løsninger− Sikre, at kommende IT understøtter privacy by design/default− Sikre, at de rigtige krav fremgår af kravsspecifikationer/løsningsbeskrivelse− Få dokumentation fra leverandør
● Redskaber til understøttelse af privay by design/default− Pseudonymisering− Kryptering− Systemopsætning/konfigurering− Instrukser/vejledninger
Side 32
Data protection officers
● Hvad er en Data Protection Officer ('DPO')?− Tilsyn med overholdelse af Persondataforordningen.− Krav til uddannelsesbaggrund – ekspertviden inden for
databeskyttelse, herunder lovgivning og praksis.− Ansat eller tredjepart (kan deles)
● Har din virksomhed brug for en DPO?− Hvis offentlig virksomhed.− Hvis din virksomheds "kerneaktivitet" består i behandling af
personoplysninger:• Der har en sådan karakter eller et sådant formål at den kræver regelmæssig og
systematisk overvågning af datasubjekter i stort omfang.• Af følsom karakter eller strafbare oplysninger i stort omfang.
Side 34
Data Protection Officers
● Ansat eller tredjepart− Kan ’deles’ mellem flere myndigheder/virksomheder f.eks. kan en koncern udpege
en fælles DPO
● Uafhængig − Må ikke have ’interessekonflikter’ i stillingen (kan blive svært!)− Må ikke modtage ordrer vedr. dennes opgaver− Kan ikke blive afskediget eller straffet for udførelse af sine opgaver)
● Rapporterer direkte til ledelse
● Kan have andre opgaver (kun hvis ingen interessekonflikt)
● Skal udpeges på grundlag af faglige kvalifikationer, herunder særligt ekspertviden indenfor databeskyttelseslovgivning og praksis
Side 35
Data Protection Officers
● DPO’ens job (minimumskrav)− Deltage i alle spørgsmål vedrørende persondatabehandling
− Øge vidensniveau hos arbejdsgiver om persondatabeskyttelse (awareness)
− Kontaktperson for myndigheder og datasubjekter
− Tilsyn med overholdelse af forordning (compliance)
− Tilsyn med implementering og overholdelse af • Politikker, procedurer• Sikkerhedskrav/risikovurderinger (+DPIA)• Sikre dokumentation
Side 36
Hvordan gribes compliance arbejdet an?
Hvorfor gå i gang nu?
● Der er 16 måneder til Forordningen træder i kraft!
− Der bliver nok at se til! • Særligt hvis der ikke allerede er helt styr på
persondatabehandlingen!
− Compliance har betydning for virksomhedens værdi • Og image udadtil!
− Compliance er tidskrævende• Og der kan dukke ubehagelige overraskelser op undervejs!
Side 38
Side 39
Dansk industris vejledning - Persondataforordningen – implementering i danske virksomheder
Organisation
● Nedsæt en arbejdsgruppe − Deltagelse fra alle relevante afdelinger – jura,
forretning, it, HR− Afhængigt af virksomheden størrelse− Ansvarlige for at bringe virksomheden i compliance
● Inkludér DPO’en / sørg for ledelsesforankring!
Side 40
Mapping af persondata
● De færreste virksomheder har fuldt overblik over hvilke persondata de behandler pt.
● Skab overblik/udarbejd en fortegnelse over:− Hvilke persondata I indsamler og behandler
• HR, salgs- og markedsføringsafdelinger er ’usual suspects’• Er der følsomme data iblandt?• Er der ustrukturerede data?• IT-afdeling er et godt sted at starte – de har overblik over systemer • ’Interviews’ af nøglepersoner i alle afdelinger
− Til hvilke formål I behandler de enkelte datatyper?Side 41
Mapping af persondata
− Hvem er datasubjekterne, og antallet af datasubjekter?
− Hvorfra er datene indsamlet?• Datasubjekt• Tredjemand• Internettet
− Videregives data?
− Hvilken hjemmel ligger til grund for behandlingen, herunder eventuelt videregivelsen?
− Er data stadig relevante/ajour?Side 42
Mapping af persondata
− Hvor behandles data?• Internt?• Databehandlere?
– Er alle databehandleraftaler på plads (og hvor findes de?)
− Er der overførsler til tredjelande?• Hvorfor overføres til tredjeland?
– Til anden dataansvarlig?– Til databehandlere?
Side 43
Mapping af persondata
− Behandler I data for andre? (Dvs. I er databehandlere)• Har I styr på alle databehandleraftaler?• Skal de opdateres? (sandsynligvis)• Overholder I kravene i databehandleraftalerne?• Har I tredjemandsdata liggende, som reelt skulle have været slettet?
− Dataflowsdiagrammer kan være nyttige
− Indhent nødvendige eksisterende anmeldelser/tilladelser fra databeskyttelsesmyndigheder.
• Selv om forordningen afskaffer anmeldelsespligten, vil anmeldelserne være nyttige.
− Billedet ændrer sig løbende!• Orientere ansatte om arbejdsgruppen/DPO• Pligt til at orientere arbejdsgruppen/DPO
– ’Opdagelse’ af flere persondata– Iværksættelse af projekter, som er persondata-relevante
Side 44
Politikker / Procedurer
● Eksterne− Findes der en privacy policy?
• Er den relevant for alle/nogle indsamlinger af data?• Up-to-date?• Er den forståelig for målgruppen?
● Internt− Er der en overordnet privacy policy ?
• Er der en for hver behandlingsområde, som foretages? – Fx markedsføring og HR
− Er der udarbejdet en fortegnelse over behandlinger?− Er der procedurer for håndtering af datasubjekters
rettigheder?• Ellers bør disse laves
Side 45
Orientering af datasubjekter
● Informeres datasubjekter om indsamlingen/ behandlingen?− Kræves opdatering?− Kan det dokumenteres?
• Gem tidligere udgaver.
● Samtykke− Identificer eventuelle manglende oplysninger, der
kræves i henhold til forordningen− Kan det dokumenteres?
• Gem tidligere udgaver• Registrer hvilken udgave, der er samtykket til
Side 46
Sikkerhed
● Få overblik over virksomhedens sikkerhed− Findes der en sikkerhedspolitik?
• Stadig up-to-date? Eller skal der startes helt fra bunden?
− Er der lavet risikovurderinger?• Er de dokumenteret – eller skal de laves?• Er der behov for, at der laves DPIA?
− Er der en procedure for udførelse af risikovurderinger/DPIA?
− Er der en procedure for håndtering af sikkerhedsbrud?
− Husk, at sikkerhed er ikke kun fysisk og teknisk, men i høj grad også organisatorisk!
• Mapping af, hvem der har adgang til hvilke data, hvorfor, og er det relevant?
Side 47
Privacy by Design/Default
● Eksisterende IT-løsninger− Understøttes privacy by design/default?− Hvis ikke - kan det bringes til at understøtte dette?
• Hvilket arbejde/hvilke omkostninger er der forbundet med dette?• Hvor lang levetid har den pågældende IT tilbage?
● Redskaber til understøttelse af privacy by design/default
• Pseudonymisering• Kryptering
Side 48
Privacy by Design/Default
● Nye IT-løsninger− Sikre, at kommende IT understøtter privacy by design/default− Kontrollere, at det fremgår af kravsspec./løsningsbeskrivelse
− Få dokumentation fra leverandør
Side 49
Databehandlere
● Bruges databehandlere?
− Hvordan er databehandleraftalerne udformet?• Sikrer de jer som dataansvarlig på fornøden vis?• Skal de opdateres for at leve op til forordningens krav?• Bruges ’standardteksten’ fra Datatilsynets hjemmeside?
− Hvilke sikkerhedskrav skal stilles til databehandlere?• Om muligt, skal databehandlere overholde samme politik som virksomheden selv• Hvis ikke – hvordan skal ’gaps’ håndteres?
− Overholder databehandlerne sikkerhedskravene?• Har I en tilsynsret?
– Indhent årlig revisionsrapport– Overvej at foretag inspektion
Side 50
Overførsler til tredjelande
● Har I de nødvendige aftaler på plads?
− Safe Harbor• OBS! Ordningen er erklæret ugyldig
– Find nyt hjemmelsgrundlag fx SCC, BCR eller samtykke• Ny aftale vedtaget og godkendt af Kommisionen - Privacy Shield
− SCC• Kan I leve op til vilkårene?
– Vær opmærksom på at det ikke er muligt at foretage materielle ændringer
• Nye SCC'er ?
Side 51
Awareness
● Planlæg undervisning af medarbejdere− Generelt om persondata, og hvorfor det skal respekteres − I politikker/procedurer− Relevante sikkerhedsforhold
• også organisatorisk
● Intern bevidsthed og kommunikation
● Opgave for DPO
Side 52
Forslag til compliance projektets faser
Side 53
1. Opstart
2. Analyse
3. Løsningsbeskrivelse
4. Implementering
5. Drift
Databehandleraftalen
Dataansvarlig eller databehandler?
− Dataansvarlig: Afgør til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.
− Databehandler: Behandler personoplysninger på dataansvarliges vegne.
• Behandler aldrig data til egne formål
− Minder om et 'arbejdsgiver – arbejdstager' forhold
Side 55
Indledende præmisser
I. Der er (næsten) persondata i alle it-systemer…II. Leverandøren er databehandler hvis adgang til kundens
persondataIII. Forordning tildeler databehandleren en mere aktiv rolle og
flere forpligtelser end PersondatalovenIV. Væsentligt skærpede sanktioner for både dataansvarlige og
databehandlere ved manglende compliance
=> Databehandleraftalen – den nye kampplads i kontraktforhandlinger..
Side 56
Kundens overvejelser ved valg af dataansvarlig
● Den dataansvarlige må alene benytte databehandlere, der giver fornødne garantier vedrørende beskyttelse af den dataansvarliges oplysninger
● Risikoanalyse skal i nødvendigt omfang også
omfatte databehandlerens forhold
=> Behov for "due dilligence":
Den dataansvarlige bør aktivt spørge ind til, og om fornødent kontrollere og sikre sig dokumentation for, hvordan databehandleren behandler den dataansvarliges persondata, inden aftaleindgåelsen!
Side 58
Kundens ansvar for databehandlerens forhold
● Yderligere grunde for kunden til at se sig for:
Den dataansvarlige hæfter solidarisk med databehandleren over for de registrerede for databehandlerens manglende overholdelse af reglerne.
Den dataansvarlige kan ifalde bøder for databehandlerens behandling af personoplysninger
Side 60
Krav til databehandleraftalen
Genstanden for behandlingen og typen af personoplysninger
Varigheden af behandlingen
Hvilken form for behandling, der skal foretages og til hvilke(-t) formål
Hvilke kategorier af registrerede, som de behandlede personoplysninger vedrører
Den dataansvarliges rettigheder og forpligtelser
Side 62
Krav til indhold (artikel 28, stk. 3)
§§ §
● At databehandleren kun må behandle personoplysningerne på baggrund af den dataansvarliges instruks
● At personer hos databehandleren, der er autoriserede til at
behandle oplysningerne, er underlagt en fortrolighedsforpligtelse
● At databehandleren skal etablere passende
sikkerhedsforanstaltninger ● At databehandleren overholder betingelserne i
Forordningen om brug af underdatabehandlere
Side 63
● At databehandleren skal bistå den dataansvarlige med at opfylde dennes forpligtelser over for de registrerede
● At databehandleren skal bistå den dataansvarlige med
at sikre dennes overholdelse af forpligtelserne i Forordningens artikel 32-36 om bl.a.
- sikkerhedsforanstaltninger
- anmeldelse ved sikkerhedsbrud
- udarbejdelse af risikoanalyser, herunder eventuelt en DPIA
- eventuel konsultation med databeskyttelsesmyndighederne
Side 64
● At databehandleren på den dataansvarliges anmodning og efter den dataansvarliges valg sletter eller returnerer de behandlede personoplysninger ved behandlingens ophør
● At databehandleren udleverer alle nødvendige
informationer med henblik på, at den dataansvarlige kan dokumentere at behandlingen hos databehandleren lever op til forpligtelserne samt
● At databehandleren tillader og medvirker til kontrol og audits.
● At databehandleren har pligt til at informere den dataansvarlige, såfremt det er databehandler-ens opfattelse at en instruks er ulovlig.
Side 65
Standarddatabehandleraftale?
● Kundens standardaftale vs. Leverandørens standardaftale?
- "Battle of forms"- Behov for grundig gennemgang; compliance, fordeling af ansvar og
forpligtelser- Væsentligt forhandlingstema
● Model contractual clauses?
- Forordningens artikel 28, stk. 7 og 8: Kommissionen eller nationale tilsynsmyndigheder kan vedtage standardkontraktbestemmelser
- Uvist om hjemmel vil blive udnyttet
- Forsigtigt bud: Nok ikke..?
- Brancheaftaler – ITB m.fl.
Side 67
Underdatabehandlere
Underdatabehandlere og "under-under databehandlere":
Side 69
Dataansvarlig
Databehandler
Underdatabehandler
Underdatabehandler
Underdatabehandler
● ’Underdatabehandlere’- begreb:
− ’Underleverandører’ til databehandleren
− Underdatabehandlere er også databehandler for den dataansvarlige
• Uagtet der ikke måtte være et direkte leverandørforhold• Er der ikke et direkte leverandørforhold, er databehandleren
ansvarlig overfor den dataansvarlige i relation til underdatabehandlerens misligholdelse
● Brug af underdatabehandlere kræver samtykke fra den dataansvarlige
Side 70
− Der skal indgås en (under-)databehandleraftale med underdatabehandleren
− Skal være på back-to-back vilkår:
− Hele vejen ned igennem "kæden"
Side 71
Hvordan håndteres eksisterende databehandleraftaler?
Behov for nye aftaler?
● Eksisterende databehandleraftaler bortfalder ikke automatisk
● Hvis databehandleraftalen ikke overholder Forordningens krav, vil det være en overtrædelse af Forordningen (uanset om selve behandlingen overholder reglerne)
● Manglende opdatering vil være en skærpende
omstændighed ved vurderingen af erstatnings- og bødeansvar i tilfælde af
f.eks. et sikkerhedsbrud.
Side 73
Behov for nye aftaler?
Både kunder og leverandører bør gennemgå deres kontrakter fra før Forordningens ikrafttrædelse og får foretaget de nødvendige opdateringer, så kontrakterne overholder Forordningen!
Nye aftaler bør tage højde for Forordningens krav!
Side 74
Hvad er kravene til kontrol og audits?
Hvad er kravene til kontrol og audits?
● Den dataansvarlige skal være i stand til at dokumentere, at behandling af personoplysninger, som foretages af eller for den dataansvarlige, er i overensstemmelse med Forordningen.
Side 76
Behov for præcise og operationelle vilkår, der sætter den dataansvarlige i stand til over for tilsynsmyndighederne at demonstrere, at tekniske og organisatoriske sikkerhedsforanstaltninger overholdes.
● Herudover bør den dataansvarlige sikre sig, at
- databehandleren løbende tester og evaluerer effektiviteten af sikkerhedsforanstaltningerne, og
- stiller dokumentation for resultatet af sådanne tests til rådighed for den dataansvarlige.
● Tillige behov for regulering af:
- hvordan databehandleren skal medvirke ved kontrol og audits - hvilke varsler der skal gives - om, og i givet fald hvordan, databehandleren skal betales
for at medvirke
Side 77
Regulering og håndtering af sikkerhedsbrud
● Databehandleren skal bistå den dataansvarlige med at overholde forpligtelserne i Forordningen om anmeldelse ved sikkerhedsbrud og eventuel konsultation med databeskyttelsesmyndighederne
● Pligten skal eksplicit fremgå af databehandleraftalen, jf. artikel 28, stk. 3, litra f
Side 79
Fordeling af ansvar for krav på er- statning fra registrede og bøder
Aftalefrihed?
● Kan kunde og leverandør frit aftale fordeling af ansvaret og ansvarsbegrænsninger ved f.eks. sikkerhedsbrud eller tilsidesættelse af registreredes rettigheder?
● Eksempel:
"Leverandørens ansvar, herunder for krav fra tredjemand, som følge af manglende overholdelse af databehandleraftalen, er begrænset til 1 mio. DKK. Kunden skal skadesløsholde Leverandøren for ethvert krav fra tredjemand, der overstiger dette beløb."
Side 81
Aftalefrihed?
● Erstatning til registrerede?: Nej, jf. artikel 88, stk. 5
● Erstatning for kundens egne tab (f.eks. internt tidsforbrug og eksterne konsulenter): Ja
● Bøder? Nej, DL 5-1-2 (aftaler i strid med lov og ærbarhed)
Side 82
Hvis du vil vide mere:
"Persondataforordningen – en håndbog for praktikere"
Side 83
Thank you Advokat, partner
Jesper LangemarkTelefon: 22 26 20 02
Mail: [email protected]
BIRD & BIRD ADVOKATPARTNERSELSKABBird & Bird Advokatpartnerselskab er et registreret selskab i Danmark under CVR-nr. 35 14 45 01. Alle vores advokater er medlem af Advokatsamfundet og underlagt de advokatetiske regler fra Advokatrådet. Reglerne er tilgængelige her: www.advokatsamfundet.dk. BIRD & BIRDBird & Bird LLP, er et registreret partnerskab, registreret i England og Wales under registreringsnummer OC340318, der er autoriseret og underlagt Solicitors Regulation Authority, og dets regler og retningslinier der er tilgængelige her: sra.org.uk/handbook/For yderligere information om Bird & Bird internationalt, herunder Bird & Bird LLP, dets filialer og associerede selskaber (samlet benævnt ”Bird & Bird”), vores kontorer, ansatte, partnere og rådgivningsområder, brug af e-mails og regulatoriske forhold, se vores website på twobirds.com og navnlig ”Legal Notices”.