© 2018 AbMano

Persondataforordningen

© 2018 AbMano

Hvem gælder det for?

Myndigheders oplysninger om

borgere

Store virksomheder med datterselskaber i

EU

Webshops med personlige oplysninger

Selvstændige kun med B2B

salg

Selvstændige med person-følsommeoplysninger

Foreninger med frivillig arbejdskraft

Oplysninger om dine venner som privatperson

© 2018 AbMano

Persondataforordningen

• General Data Protection Regulation (GDPR)

• Opdatering af persondataloven på EU plan med nye krav

• Beskyttelse personers private oplysninger og styrkelse af personers retsstilling

• Gælder for offentlige myndigheder, private virksomheder, foreninger m.v., der behandler persondata

• Gælder ikke personlige eller familiemæssige aktiviteter

• Gælder også for behandling af personoplysninger i EU

• Træder i kraft 25. maj 2018

© 2018 AbMano

Rundt om GDPR

Personoplysninger

Samtykke

Registreredes rettigheder

Dokumentation

Dataansvarlig

Data Protection Officer

Databehandler

Overførsel til 3. lande

Datasikkerhed

Notifikationspligt

Dataportabilitet

Bøder

© 2018 AbMano

Hvad er behandling af persondata?

”Enhver aktivitet eller række af aktiviteter med eller uden brug af automatisk behandling, som personoplysninger eller en samling af personoplysninger gøres til genstand for”

• Dvs. personoplysninger, der er eller vil blive indeholdt i et register.

• Primært elektronisk behandling af oplysninger.

© 2018 AbMano

Indsamling af persondata

• Skal ske lovligt, rimeligt og på en gennemsigtig måde• Til udtrykkeligt angivne formål• Må ikke viderebehandles på en uforenelig måde.

Dvs. må ikke bruges til andet end det, de er indsamlet til• Formålet skal være sagligt og skal kunne begrundes• Personoplysninger skal være tilstrækkelige, relevante og

begrænset til, hvad der er nødvendigt i forhold til formålet. Dvs. ikke indsamle mere end nødvendigt – need to know

• Korrekte og ajourførte, ellers slettes eller berigtiges• Må ikke gemmes længere tid end nødvendigt (til formålet)

© 2018 AbMano

Hvad er en personoplysning?

”Enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede)”

F.eks.• navn, adresse, telefonnummer, email, alder, arbejdsplads,

uddannelse m.v.• identifikationsnummer, bl.a. CPR-nr., kundenr., medarbejdernr.,

IP-adresse• kreditkortnummer• oplysninger om kontaktpersoner hos samarbejdspartnere – f.eks.

email el. stilling• optagelser fra overvågningskameraer• billeder af personer, der kan identificeres• oplysning om en persons fysiske eller psykiske tilstand samt

medicinbrug og misbrug af narkotika, alkohol og lign.• fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller

sociale oplysninger• andre oplysninger, der kan henføres til en fysisk person

© 2018 AbMano

Kategorier af personoplysninger

• Almindelige oplysninger– Navn– Adresse– Telefonnummer– Email– Fødselsdato– Uddannelse– Stilling– Løn– Skat– … m.m.

– Oplysninger om strafbare forhold 1,2

– Sociale problemer 1,2

– Andre rent private forhold end følsomme oplysninger 1

– CPR nr. 2

1 Tidligere semi-følsomme oplysninger2 Særlov i de enkelte medlemslande (visse oplysninger er endnu ikke fastlagt)

• Personfølsomme oplysninger– Race eller etnisk baggrund– Politisk, religiøs eller filosofisk

overbevisning– Fagforeningsmæssigt

tilhørsforhold– Genetiske eller biometriske data

med henblik på identifikation 3

– Helbredsoplysninger– Seksuel orientering

3 Nyt afsnit

© 2018 AbMano

Hvad er et register?

© 2018 AbMano

”Enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at person-oplysninger, der vedrører den pågældende, gøres til genstand for behandling.”

Samtykke

© 2018 AbMano

Samtykke

• Frivilligt– Uden tvang og baseret på reelt og frit valg (”opt out” er ikke tilladt)

• Specifikt– Hvilke oplysninger, til hvad, hvor længe m.m.

• Informeret– Hvem behandler og hvordan; stiltiende samtykke er utilstrækkeligt

• Utvetydigt– Ingen tvivl om afgivelse eller omfanget af et samtykke (f.eks. ikke indeholdt i

almindelige betingelser)

– Skal være klart og forståeligt

• Dokumentation– Ikke krav om skriftlighed, men dataansvarlige har bevisbyrden

– Nyt samtykke skal indhentes, hvis der ændres på forhold

• Tilbagetrækning– Registrerede kan til enhver tid trække sit samtykke tilbage

lige så let som at give samtykke

– SKAL oplyses ved indhentelse af samtykke

© 2018 AbMano

Skærpede krav til samtykke

• Almindelige oplysninger– Samtykke

• Personfølsomme oplysninger– Udtrykkeligt samtykke

• Særlig beskyttelse af mindreårige (under 16/13 år)– Kræver forældresamtykke

© 2018 AbMano

Samtykkeindhold

• Informere om – Formålet for indsamling

– Kontaktoplysninger på den dataansvarlige

– Modtagere af oplysninger (f.eks. kun virksomheden selv)

– Rettighed til at rette og slette data

– Rettighed til at trække samtykke tilbage

– Mulighed for at klage til Datatilsynet

© 2018 AbMano

Registreredes rettigheder

• Oplysningspligt– Ret til at få oplysning om behandlingen af personoplysninger,

formålet for indsamling, hvem er dataansvarlig, evt. modtagere af oplysninger m.v.

• Indsigtsret– Ret til at få indsigt i hvilke oplysninger, der behandles

• Berigtigelse– Ret til at få urigtige oplysninger berigtiget

• Retten til at blive glemt– Ret til at få slettet oplysninger (hvis de ikke længere er

nødvendige for formålet)

• Indsigelse– Klage til Datatilsynet

• Dataportabilitet– Overførsel af oplysninger til anden virksomhed

© 2018 AbMano

Retten til at blive glemt

• Persondata, som ikke længere er nødvendige

• Samtykke tilbagekaldes

• Databehandlingen er ulovlig

• Registreret person er under 16 år gammel

• Dog ikke hvor:– Udøvelse af pressefrihed

– Overholdelse af gældende lov

– Databehandling i den offentlige interesse

– Arkivering opretholdt i den offentlige interesse

• OBS: Backups

© 2018 AbMano

Dokumentationskrav

• Demonstrere overholdelse af persondataforordningen

• Skriftlig dokumentation for enhver behandlingstype

• Præcis, lettilgængelig og tydelig information om:– hvorfor og hvordan persondata behandles

– hvilke rettigheder den registrerede har

– hvem der er dataansvarlig

– hvilke persondata, der er blevet behandlet

– overførsler til tredjelande, m.v.

© 2018 AbMano

Dataansvarlig

”En fysisk eller juridisk person, offentlig myndighed eller andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger”

• Som udgangspunkt selve virksomheden, ikke enkeltpersoner

• Ansvarlig for overholdelse af størstedelen af GDPR

© 2018 AbMano

Data Protection Officer

• Nødvendig, hvis – virksomhedens hovedaktivitet beror på databehandlingsprocesser, hvor det er nødvendigt med omfattende og systematisk overvågning af personer

– kerneaktiviteterne består af omfattende behandling af følsomme personoplysninger eller oplysninger om strafferetlige forhold

© 2018 AbMano

Databehandler

”En fysisk eller juridisk person, offentlig myndighed eller andet organ, der behandler personoplysning på den dataansvarliges vegne”

• Kræver indgåelse af skriftlig databehandler-aftale mellem den dataansvarlige og databehandleren

© 2018 AbMano

Databehandler

• Ansvarlig for, at:– Data ikke behandles på andre måder end aftalt med dataansvarlig

– Udarbejde rapporter over behandlingsaktiviteterne– Implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger

– Informere dataansvarlige ved databrud - og uden unødigt ophold

– Udpege en DPO, hvis det er påkrævet– Overholde reglerne for overførsel af data til lande uden for EU

– Overholde eksplicitte betingelser for, hvornår en databehandler må benytte sig af underdatabehandlere

– Kunne være erstatningsansvar over for de registrerede

© 2018 AbMano

Krav til databehandleraftalens indhold

• Behandlingens varighed

• Formålet med behandlingen

• Typer af data, der behandles

• Kategorier af registrerede

• Databehandlerens pligter og rettigheder, navnlig

– alene behandle data efter den dataansvarliges dokumenterede instruks

– sikre, at medarbejdere, der behandler data, er underlagt en fortrolighedsforpligtelse

– efterkomme alle lovpligtige sikkerhedsforanstaltninger

– overholde krav vedrørende anvendelse af andre databehandlere

– i muligt omfang bistå den dataansvarlige med at behandle begæringer, udarbejde PIA, underretning af tilsyns-myndigheden ved sikkerhedsbrud mv.

– være i stand til over for den dataansvarlige at fremvise alt nødvendig information for at dokumentere compliancemed reglerne i forordningen

© 2018 AbMano

Eksempel på databehandleraftale

”Databehandleren handler alene efter instruks fra den dataansvarlige. Databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. Databehandleren skal på den dataansvarliges anmodning give den dataansvarlige tiltrækkelige oplysninger til, at denne kan påse, at de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger er truffet.”

Ved mindre komplicerede løsninger, f.eks. hjemmesidehosting, ifølge Datatilsynet

Link til en standard-databehandleraftale:

https://www.datatilsynet.dk/nyheder/nyhed/artikel/Ny-skabelon-skal-hjlpe-virksomheder-og-myndigheder-med-at-blive-klar-til-databeskyttelsesforordning/

© 2018 AbMano

Overførsel til tredjelande

• Overførsel – Videregive personoplysninger til en dataansvarlig udenfor EU

– Overlade personoplysninger til databehandler udenfor EU

– Gælder også ‘kikke-adgang’

– Gælder uanset sprog (om man forstår det eller ej)

© 2018 AbMano

Overførsel til tredjelande

• Der må overføres persondata til tredjeland, såfremt:– Tredjeland sikrer et tilstrækkeligt beskyttelsesniveau

– Den registrerede har givet udtrykkeligt samtykke

– Overførsel er nødvendig for at beskytte den registreredes vitale interesser

– Binding Corporate Rules (godkendt af Datatilsynet)

– Overførsel er nødvendigt for den dataansvarliges legitime formål, og dennes interesse ikke overstiger den registrerede interesse

© 2018 AbMano

Usikre tredjelande

• Afgøres af EU Kommissionen

• USA er IKKE et sikkert land!

– med mindre der er indgået EU-US Privacy Shield

• Overførsel til tredjeland kan finde sted, hvis den registrerede person har givet sit udtrykkelige samtykke til overførslen.

– Frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede

– Information om mulige risici, overførslen kan medføre

© 2018 AbMano

Datasikkerhed

• Pseudonymisering og kryptering

• Fortrolighed, integritet og tilgængelighed

• Robusthed i systemer og tjenester

• Sikre gendannelse og adgang til data i tilfælde af et fysisk eller teknisk hændelse

• Regelmæssigt test, vurdering og evaluering

• Glem ikke medarbejdere - hjemme-pc, mobiltelefoner, tablets, USB nøgler, eksterne harddisks m.m.!

© 2018 AbMano

Databeskyttelse i IT-systemer

• Ikke indsamle flere personoplysninger end nødvendigt

• Ikke opbevare oplysningerne længere end nødvendigt

• Ikke anvende oplysningerne til andre formål end det formål, som oplysningerne oprindeligt blev indsamlet til.

• Indtænke databeskyttelse ved udvikling af nye eller ændring af eksisterende it-systemer (databeskyttelse gennem design/privacy by design)

© 2018 AbMano

Notifikationspligt

• Hændelig eller ulovlig ødelæggelse, tab m.v.

• Databehandler skal informere dataansvarlige uden ubegrundet ophold

• Dokumentere brud

• Anmelde bruddet til Datatilsynet inden for 72 timer

• Underrette de registrerede om bruddet – uden unødig forsinkelse (ved høj risiko for fysiske personers rettigheder eller frihedsrettigheder, f.eks. risiko for diskrimination, identitetstyveri eller bedrag)

© 2018 AbMano

Dataportabilitet

• Ret til at modtage persondata om sig selv

• Struktureret

• Maskinlæsbart format

• Almindelig anvendelig elektroniske formater

• Ret til at få overført persondata direkte til en anden service provider, hvor det er teknisk muligt

© 2018 AbMano

Bødestørrelse

• Ved databrud– Hvis virksomheden ikke har underrettet Datatilsynet om et databrud, hvor der ikke er udarbejdet en impactassessment, eller hvor oplysningspligten over for de registrerede ikke er overholdt.

– Bøde: • 2% af virksomhedens globale omsætning • eller €10 mio.

• Ved persondatabrud– Hvis virksomheden foretager behandling uden hjemmelsgrundlag, undlade at slette, give indsigt i eller rette data samt ved ulovlig overførsel af data til tredjelande.

– Bøde:• 4% af virksomhedens globale omsætning • eller €20 mio.

© 2018 AbMano

© 2018 AbMano

Hvor starter du?

• Kender nøglepersoner i virksomheden til persondataforordningen?

• Hvilke personoplysninger behandles?– F.eks. medarbejdere, kunder, leverandører

– Indhentes for mange informationer?

• Hvilken type personoplysning?– Almindelige eller følsomme personoplysninger

• Behandles personoplysninger om børn?

• Hvorfor indsamles personoplysninger?– F.eks. salg, kundekartotek, kontrakter

• Har personer afgivet et samtykke?

• Opfyldes de registreredes rettigheder?– F.eks. rette og slette oplysninger

© 2018 AbMano

Hvor starter du?

• Hvordan indhentes personoplysninger?– F.eks. webshop, kundeservice, email

• Hvordan opbevares personoplysninger?– F.eks. CRM, webshop, økonomisystem, mapper

• Hvem har adgang til personoplysninger?– Hvem er det nødvendigt for?

• Hvem deles personoplysninger med?

• Hvem er dataansvarlig / databehandler?– Underdatabehandlere?

• Opbevares personoplysning i tredjelande?– EU-US Privacy Shield

© 2018 AbMano

Hvor starter du?

• Hvordan dokumenteres personoplysninger?

• Handlingsplan ved brud på persondatasikkerheden

• Databeskyttelse i IT-systemer

• Skal du have en Data Protection Officer?

• Hvad skal du gøre?– F.eks. manglende dokumentation, beskrivelse af processer og

procedurer, politikker, databehandleraftale

Få styr på dine data

© 2018 AbMano

Hvis GDPR var en bil …

• Spørge om at låne bilen?• Hvem låner du bilen til?• Hvad skal du bruge bilen

til?• Hvor længe skal du låne

den?• Sker der noget med bilen?

– Fartbøder, skader, p-bøde

• Underretning ved skade• Reparation af bilen• Ønsker bilen retur –

fortryder udlånet• Er nøglerne afleveret?

• Må jeg få dine data?• Hvem er du?• Hvad skal du bruge mine

data til?• Hvor længe skal du bruge

mine data?• Sker der noget med data?

– Tyveri, delagtiggørelse

• Underretning ved brud• Gendannelse af data• Fortrydelse – tilbagekalde

samtykke• Ønsker data slettet

Bilen = dine data

© 2018 AbMano

Eksempel på samtykke

https://naturgas.dk/kundeservice/kontakthmn/nemt-at-vaere-kunde-samtykke

© 2018 AbMano

Eksempel på samtykke

© 2018 AbMano

Eksempel på samtykke

© 2018 AbMano

Gode links

• Datatilsynet– datatilsynet.dk/erhverv/om-erhverv

• Skræddersyet privatlivspolitik– startvaekst.virk.dk/privacykompasset

• Tjek din virksomheds IT-sikkerhed– sikkerhedstjekket.dk/index.php

• EU-U.S. Privacy Shield– datatilsynet.dk/erhverv/tredjelande/eu-us-privacy-shield

– privacyshield.gov/list

• Persondatatesten– persondatatesten.dk

© 2018 AbMano

Links til hjælp

https://eu-ret.dk/

© 2018 AbMano

Links til hjælp

https://nypersondataforordning.dk/

© 2018 AbMano

Links til hjælp

https://lexoforms.com/

© 2018 AbMano

Du er velkommen til at kontakte mig

Bibbi BryldAbMano

2546 4260

bibbi@abmano.dk

www.abmano.dk