ER DU KLAR TIL DEN NYE PERSONDATAFORORDNING?

Mads Nygaard Madsen, Heidi Steen Jensen, Charlotte Kunckel & Egil Husum

7. juni 2016

− En vis grad af harmonisering – men der vil stadig være nationale særregler

− Meget ”mere af det samme”. Eksempler:− Strengere samtykkeregler

− Mere omfattende oplysningskrav

− Udvidede rettigheder for den registrerede, f.eks. regler om dataportabilitet

− Strengere krav til databehandlere og databehandleraftaler

− Mindre tick-the-box-tilgang. I stedet en mere risikobaseret, procesorienteret tilgang. Eksempler:− Privacy by design, privacy by default

− Krav om anmeldelse til tilsynsmyndighed som udgangspunkt fjernet, men til gengæld krav om konsekvensanalyse og evt. høring samt krav om udarbejdelse og vedligeholdelse af fortegnelse over behandling

− Databeskyttelsesrådgiver (Data Protection Officer)

− Meget strengere sanktioner

PERSONDATAFORORDNINGEN I EN NØDDESKAL

side 3

Kl. 9.00-9.10 Velkomst og introduktion til dagens emne

Kl. 9.10-9.50 De nugældende persondataretlige regler i den danske persondatalov

Kl. 9.50-10.10 Ændringer og nydannelser i medfør af persondataforordningen

Kl. 10.10-10.30 Pause

Kl. 10.30-11.50 Ændringer og nydannelser i medfør af persondataforordningen (fortsat)

Kl. 11.45-12.00 Afrunding

PROGRAM

side 4

De nugældende persondataretlige regler i den danske persondatalov

DEL I

side 5

− Persondataloven gennemfører EU-direktiv 95/46/EF om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger

− Direktivets formål − Beskyttelse af privatlivets fred

− Fjerne hindringer for udveksling af personoplysninger inden for EU

− Hensigtsmæssig brug af ny teknologi

− Persondataloven skal sikre− Gennemførelse af direktiv 95/46/EF

− Tidssvarende generel lovgivning

− Et højt beskyttelsesniveau

− Hensigtsmæssigt udnyttelse af ny teknologi

BAGGRUNDEN OG FORMÅLET MED REGLERNE

side 6

Persondata/Personoplysninger:

− ”Enhver form for information om en identificeret eller identificerbar fysisk person (denregistrerede).” (PDL § 3, nr. 1)

− Bred definition. Rigtig meget er omfattet!

− Eksempel: ”Caroline Wozniacki er tennisspiller.”

− ”identificerbar person” = person, der direkte eller indirekte kan identificeres.− Også selvom det kun er muligt for den særligt indviede at forstå, hvem oplysningen vedrører.

− Helt anonyme oplysninger er ikke omfattet.

− Følgende er/kan også være personoplysninger:− Fotos/video

− Stemmeoptagelser

− Fingeraftryk

GRUNDBEGREBER

side 7

Behandling:

− ”Enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for.” (PDL § 3, nr. 2)

− Begrebet omfatter enhver form for håndtering af oplysninger.

− Eksempler:− Indsamling− Registrering− Systematisering− Opbevaring− Tilpasning eller ændring− Selektion− Søgning− Brug− Videregivelse− Sammenstilling eller samkøring− Blokering, sletning eller tilintetgørelse

GRUNDBEGREBER (FORTSAT)

side 8

Dataansvarlig:

− ”Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.” (PDL § 3, nr. 4)

Databehandler:

− ”Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne.” (PDL § 3, nr. 5)

Eksempel på dataansvarlig og databehandler:− En organisation (A) lagrer oplysninger om sine medlemmer i et IT-system.

− A overlader driften af systemet til en IT-leverandør (B).

− A er dataansvarlig. B er databehandler.

GRUNDBEGREBER (FORTSAT)

side 9

PDL § 5 fastlægger visse grundprincipper, som altid skal overholdes ved behandling af personoplysninger:

− Oplysninger skal behandles i overensstemmelse med god databehandlingsskik

− Indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål(formålsbestemthed)

− Behandlede oplysninger skal være relevante og tilstrækkelige og ikke omfatte mere end påkrævet til opfyldelse af formålet (proportionalitet)

− Der skal ske fornøden ajourføring og kontrol (datakvalitet)

− Oplysninger må ikke opbevares længere end nødvendigt (sletning)

GRUNDPRINCIPPER

side 10

Enhver behandling af personoplysninger kræver hjemmel (dvs. retligt grundlag i loven). Forskellige hjemmelsregler afhængig af typen af personoplysninger.

BEHANDLINGSREGLER

§ 6Fortrolige oplysninger

(privatøkonomi, CPR-nr.)

§§ 7-8Følsomme oplysninger

§ 6Almindelige oplysninger

(navn, adresse mv.)

Nødvendighed

Anmeldelsespligt

side 11

Forskellige typer af persondata:

− Følsomme oplysninger (§§ 7 og 8):− § 7: Racemæssig og etnisk baggrund, politisk og religiøs/filosofisk overbevisning,

fagforeningsmæssige tilhørsforhold, helbredsmæssige og seksuelle forhold

− § 8: Strafbare forhold, væsentlige sociale problemer og andre rent private forhold end de i § 7 nævnte

− Almindelige oplysninger (§ 6): Både fortrolige (der ikke er omfattet af §§ 7 og 8) samt ikke-fortrolige oplysninger− Eksempel på ikke-fortrolige oplysninger: Navn, adresse, telefon mv.

− Eksempel på fortrolige oplysninger: Privatøkonomi e.o., CPR-nr. mv.

BEHANDLINGSREGLER (FORTSAT)

side 12

Hjemmelsgrundlag for behandling af almindelige oplysninger (§ 6, stk. 1):

− Udtrykkeligt samtykke (nr. 1)

− Nødvendig for opfyldelse af aftale (nr. 2)

− Nødvendig for at overholde en retlig forpligtelse påhvilende den dataansvarlige (nr. 3)

− Nødvendig for at beskytte den registreredes vitale interesser (nr. 4)

− Nødvendig af hensyn til udførelsen af en opgave i samfundets interesse (nr. 5)

− Nødvendig for udførelse af en opgave, der henhører under offentlig myndighedsudøvelse (nr.6)

− Interesseafvejning: Behandlingen er konkret tilstrækkeligt nødvendig set i forhold til hensynettil den registrerede (nr. 7)

BEHANDLINGSREGLER (FORTSAT)

side 13

Hjemmelsgrundlag for behandling af følsomme oplysninger (§§ 7-8):

− Strenge regler

− Mest almindelige hjemmelsgrundlag:− Udtrykkeligt samtykke eller− At behandlingen er nødvendig for fastlæggelse af retskrav (inkluderer offentlige

myndigheders behandling af oplysninger som led i myndighedsudøvelse)

− En række særregler, f.eks.:− § 7, stk. 3: Behandling af oplysninger om fagforeningsmæssige tilhørsforhold− § 7, stk. 4: En stiftelse, en forening eller en anden almennyttig organisation, hvis

sigte er af politisk, filosofisk, religiøs eller faglig art, kan behandle oplysninger ommedlemmer

BEHANDLINGSREGLER (FORTSAT)

side 14

Oplysningspligten (§§ 28-30)− § 28: Den dataansvarlige skal, når oplysninger er indsamlet hos borgeren, oplyse

om:− Den dataansvarliges identitet

− Formålet med behandlingen af oplysningerne

− Og efter omstændighederne, f.eks.:

− Kategorier af modtagere

− Hvorvidt det er frivilligt at svare

− Reglerne om indsigt og berigtigelse

DEN REGISTREREDES RETTIGHEDER

side 15

− § 29: Den dataansvarlige skal, når oplysninger ikke er indsamlet hos borgeren, oplyse om:− Den dataansvarliges identitet

− Formålet med behandlingen af oplysningerne

− Og efter omstændighederne, f.eks.:− Hvilken type oplysninger der er tale om

− Kategorier af modtagere

− Reglerne om indsigt og berigtigelse

− Reglerne gælder ikke hvis borgeren allerede er bekendt med disse oplysninger

− Og for § 29, hvis behandlingen er hjemlet ved lov

DEN REGISTREREDES RETTIGHEDER (FORTSAT)

side 16

Indsigtsret og øvrige rettigheder (§§ 31-40), f.eks.:

− Ret til at gøre indsigelse over for den dataansvarlige mod, at oplysninger behandles (§ 35)

− Ret til at kræve berigtigelse/sletning/blokering af oplysninger, der viser sig urigtige eller vildledende eller på lignende måde er behandlet i strid med loven (§ 37)

− Ret til at tilbagekalde samtykke (§ 38)

− Mulighed for at klage til Datatilsynet (§ 40)

DEN REGISTREREDES RETTIGHEDER (FORTSAT)

side 17

Krav om sikkerhedsforanstaltninger:

− PDL § 41, stk. 3: Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod− At oplysningerne hændeligt eller ulovligt tilintetgøres, fortabes eller forringes

− At oplysningerne kommer til uvedkommendes kendskab eller misbruges

− At oplysningerne i øvrigt behandles i strid med persondataloven

− Sikkerhedsbekendtgørelsen

DATASIKKERHED

side 18

Krav, der skal opfyldes, når en dataansvarlig overlader behandling til en databehandler:

− At databehandleren kan træffe de påkrævede sikkerhedsforanstaltninger (påse at detsker)

− Skriftlig databehandleraftale med indhold i overensstemmelse med PDL § 42, stk. 2

DATABEHANDLERAFTALER

side 19

Persondataloven § 27

− Overførsel må kun ske, hvis tredjelandet sikrer tilstrækkelig beskyttelse

− § 27, stk. 3: Ad hoc overførsel kan herudover bl.a. ske på baggrund af et udtrykkeligt samtykke m.v.

− § 27, stk. 4 og 5: Mulighed for at basere overførsel på EU model clauses eller på Binding Corporate Rules

− Safe Harbour-ordningen for overførsel til USA er blevet underkendt af EU-Domstolen i oktober 2015. Ny Privacy Shield-ordning er under formalisering.

OVERFØRSEL TIL TREDJELANDE

side 20

− I visse tilfælde skal behandling af personoplysninger anmeldes til Datatilsynet

− I visse tilfælde gælder endvidere, at iværksættelse af behandlingen ikke må påbegyndes, før Datatilsynet har givet tilladelse

REGLER OM ANMELDELSE OG TILLADELSE

side 21

Ved overtrædelse af reglerne i persondataloven kan en række sanktioner komme i anvendelse:

− Påbud/forbud eller kritik fra Datatilsynet

− Erstatning (culpa med omvendt bevisbyrde)

− Straf i form af bøde eller fængsel indtil 4 måneder

SANKTIONER

side 22

Ændringer og nydannelser, som indføres ved EU’s persondataforordning

DEL II

side 23PERSONDATAFORORDNINGEN| EN STATUS

2012 2014 2015 2016 2017 25. maj 2018

EU-kommissionens forslag fremsættes

EU-Parlamentet vedtager ændringer

Rådet vedtager ændringer

Databeskyttelses-pakken vedtages16. april

Lovforslag fremsættes for folketinget

Persondataforordningen finder anvendelse

side 24

Tidligere: EU Direktiv om beskyttelse af persondata

Nu: Persondataforordning

Betydning?

− Umiddelbar anvendelse i medlemsstaterne

− Mere af det samme – udvidelse af rettigheder, krav til databehandlere, datasikkerhed, informationskrav og oplysningspligt mv.

Særlovgivning?

PERSONDATAFORORDNINGEN | OVERBLIK

side 25

Forordningen finder anvendelse på persondata, defineret som:

− Enhver form for information om en identificeret eller identificerbar

fysisk person (”den registrerede”); ved identificerbar fysisk person

forstås en fysisk person, der direkte eller indirekte kan identificeres,

navnlig ved en identifikator som f.eks. et navn, et

identifikationsnummer, lokaliseringsdata, en onlineidentifikator, eller

et eller flere elementer, der er særlige for denne fysiske persons

fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller

sociale identitet

− Betydningen af pseudonymisering

BEGREBER| DEFINITION AF PERSONDATA

side 26

Samtykkedefinition

”enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse

fra den registrerede, hvorved den registrerede ved erklæring eller klar

bekræftelse indvilliger i, at personoplysninger, der vedrører den

pågældende, gøres til genstand for behandling”

BEGREBER | SAMTYKKE

side 27

Legitim interesse

− Ny afvejningsregel i forordningen: Den dataansvarlige skal oplyse den registrerede om sin ”legitime interesse”

− Finder ikke anvendelse på offentlige myndigheder

− Mulighed for dansk særregel?

BEGREBER | LEGITIM INTERESSE/AFVEJNINGSREGEL

side 28

Øgede krav til oplysningspligten

���� Kommunikation over for registrerede skal være kortfattet, gennemsigtig, letforståelig, lettilgængelig form og i klart og enkelt sprog

− Retsgrundlaget for behandlingen, dvs. hjemmelsgrundlaget

− Hvilke legitime interesser hos den dataansvarlige eller tredjemand, der indgår iafvejningen (ved artikel 6, stk. 1, litra f)

− Hvorvidt tilvejebringelsen af personoplysningerne er et lovmæssigt eller kontraktueltkrav

− Oplysninger om grundlaget for, at der ske overførsel til tredjeland, m.v. (hvis data overføres)

RETTIGHEDER | OPLYSNINGSPLIGTEN

side 29

Øgede krav til oplysningspligten

− Hvor lang en periode oplysningerne vil blive opbevaret eller – hvis dette ikke er muligtat oplyse – kriterierne, der indgår i beregningen af perioden

− Rettigheder for den registrerede (f.eks. indsigt (skal meddeles klart og adskilt fra alle

andre oplysninger), berigtigelse, sletning, indsigelse, dataportabilitet, klagemulighed til

tilsyn)

− Forekomsten af automatiske afgørelser, herunder profilering, samt meningsfyldtinformation om den logik, der anvendes, samt om betydningen og de forventedekonsekvenser for den registrerede

− Mulighed for at Kommissionen vedtager, at standardiserede ikoner skal anvendes

RETTIGHEDER | OPLYSNINGSPLIGTEN (FORTSAT)

side 30

Indsigtsret

− Registrerede har ret til at få indsigt i, hvilke oplysninger den dataansvarlige behandler om ham/hende.

− Kopi af personoplysninger, der behandles, skal udleveres.

− Skærpede krav til tidsfrist og klagevejledning (klage til tilsyn).

Ret til berigtigelse

− Den registrerede skal have mulighed for at berigtige ukorrekte/mangelfulde oplysninger, der behandles om denne.

Ret til sletning af oplysninger (retten til at blive glemt)

− Herunder også at tredjeparter (dataansvarlige) sletter eventuelle links til eller gengivelse af oplysningerne under visse nærmere betingelser

RETTIGHEDER | INDSIGT, BERIGTIGELSE OG THE RIGHT TO ERASURE

side 31

Ret til begrænsning af behandling

Ret til dataportabilitet

− Ny

Ret til indsigelse

− Ret til indsigelse, hvis ikke legitime grunde til behandlingen

− Udspecificering af ret til indsigelse, f.eks. − hvis der ikke kan påvises vægtige legitime grunde ved afvejning

− over for behandling, der sker med henblik på direkte markedsføring

RETTIGHEDER | DATAPORTABILITET OG INDSIGELSE

side 32

Ret til at protestere imod automatiserede individuelle afgørelser, herunder profiling

− Den registrerede har som udg.pkt. ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering, som har retsvirkning eller på tilsvarende vis betydeligt påvirker den pågældende.

"profilering": enhver form for automatisk behandling af personoplysninger, der består i

at anvende personoplysninger til at evaluere bestemte personlige forhold vedrørende

en fysisk person, navnlig for at analysere eller forudsige forhold vedrørende den fysiske

persons arbejdsindsats, økonomiske situation, helbred, personlige præferencer,

interesser, pålidelighed, adfærd, geografisk position eller bevægelser

Visse undtagelser, hvor profilering under visse betingelser kan ske.

RETTIGHEDER | PROFILERING

side 33

EU-ret eller national ret kan begrænse den registreredes rettigheder under hensyntagen til

− statens og den offentliges sikkerhed,

− forsvaret,

− kontrol-, tilsyns- eller reguleringsfunktioner

− beskyttelse af retsvæsnet mv.

RETTIGHEDER | BEGRÆNSNINGER I RETTIGHEDER

side 34

− Den dataansvarlige skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre – samt være i stand til at påvise – at behandling sker i overensstemmelse med forordningen.

− Hvis det står i rimeligt forhold til behandlingsaktiviteter, skal foranstaltninger omfatte implementering af passende databeskyttelsespolitikker.

− Overholdelse af godkendte adfærdskodekser eller godkendte certificeringsordninger kan være med til at demonstrere den dataansvarliges overholdelse af forpligtelser.

DATAANSVARLIG | ANSVAR

side 35

‒ Databeskyttelse gennem design (data protection by design): Krav om, at den dataansvarlige tænker tekniske og organisatoriskeforanstaltninger ind fra begyndelsen med henblik på effektivgennemførelse af databeskyttelsesprincipper, intregrering af fornødnegarantier for opfyldelse af forordningens krav og beskyttelse af de registreredes rettigheder.

‒ Databeskyttelse gennem standardindstillinger (data protection by default): Krav om, at den dataansvarlige implementerer tekniske og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at sikre, at kun personoplysninger, der er nødvendige til hvert specifikt formål med behandlingen, behandles. Princippet gælder for:‒ Mængden af personoplysninger, der indsamles‒ Omfanget af behandlingen‒ Opbevaringsperioden‒ Tilgængeligheden

DATAANSVARLIG|DATA PROTECTION BY DESIGN AND BY DEFAULT

side 36

− Den dataansvarlig må kun bruge databehandlere, som kan stille de fornødne garantier for at gennemføre passende tekniske og organisatoriske foranstaltninger, så forordningen opfyldes, og den registreredes rettigheder beskyttes.

− Overholdelse af godkendt adfærdskodeks eller godkendt certificeringsmekanisme kan bruges som element til at påvise fornødne garantier.

− Eksplicit regulering af brug af underdatabehandlere:− Kræver et konkret eller generelt samtykke fra den dataansvarlige.

− Den dataansvarlige skal underrettes ved ændringer

− Krav om kontrakt med underdatabehandlere

DATABEHANDLERE| SKÆRPEDE KRAV

side 37

− Betydelig skærpelse af kravene til indholdet af databehandleraftaler. Skal bl.a.:− Fastsætte genstand og varighed af behandlingen− Behandlingens karakter og formål

− Typen af personoplysninger

− Kategorierne af registrerede

− Den dataansvarliges forpligtelser og rettigheder

− Fastsætte, at databehandleren:− Sikrer fortrolighedspligt/tavshedspligt hos behandlende personer− Overholder krav til behandlingssikkerhed

− Bistår den dataansvarlige i en række henseender, f.eks.:− Opfyldelse af forpligtelserne til at besvare anmodning er om udøvelse af de

registreredes rettigheder− Anmeldelse af og evt. underretning om brud på persondatasikkerheden− Konsekvensanalyser

− Sletter/tilbageleverer personoplysninger til den dataansvarlige, når behandlingen er ophørt.

− Stiller alle oplysninger, der er nødvendige for at påvise overholdelse af kravene, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner.

DATABEHANDLERE | SKÆRPEDE KRAV (FORTSAT)

side 38

− Krav om udarbejdelse af skriftlig fortegnelse med beskrivelse af behandling af personoplysninger− Nærmere krav til indholdet af dokumentationen fremgår af forordningen

− Kravet gælder både for dataansvarlige og databehandlere (kravene til indholdet af dokumentationen er dog ikke ens)

− Tilsynsmyndighed kan kræve fortegnelserne udleveret

− Organisationer med færre end 250 ansatte er som udgangspunkt undtaget fra fortegnelseskravet, men kan alligevel være omfattet, hvis de foretager behandling, som sandsynligvis vil medføre risiko for registreredes rettigheder og frihedsrettigheder,behandlingen ikke er lejlighedsvis, eller behandlingen omfatter følsomme oplysninger.

DOKUMENTATIONSKRAV|FORTEGNELSER OVER BEHANDLINGSAKTIVITETER

side 39

Dataansvarlige og databehandlere skal:

− på baggrund af aktuelle tekniske niveau og omkostninger ved gennemførelse

− og risikoen for den registreredes rettigheder og frihedsrettigheder

− gennemføre nødvendige tekniske og organisatoriske foranstaltninger

− f.eks. ved at pseudonymisere data

Dette gælder særligt i forhold til risikoen ved uautoriseret adgang

Medarbejdere mv. må kun behandle data efter instruktion

SIKKERHED | BEHANDLINGSSIKKERHED

side 40

SIKKERHED | PLIGT TIL ANMELDELSE OG EVENTUELT UNDERRETNING VED SIKKERHEDSBRUD

Sikkerhedsbrud

Databehandler underretter den

dataansvarlige – straks!

Datatilsynet – TidsfristAndre involverede –

hurtigst muligt

Beskrivelse af sikkerhedsbruddet

side 41

Brud på persondatasikkerheden skal anmeldes uden unødig forsinkelse til tilsynsmyndigheden (breach notification)

− Anmeldelse af bruddet skal senest ske inden 72 timer

− Medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.

I visse tilfælde skal den registrerede også underrettes om sådanne brud

Visse undtagelser til anmeldelse

SIKKERHED | PLIGT TIL ANMELDELSE OG EVENTUELT UNDERRETNING VED SIKKERHEDSBRUD

side 42

‒ Pligt til at gennemføre en forudgående konsekvensanalyse (data protection impact assessment), når en behandling “navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, kontekst og formål, sandsynligvis vil føre til høj risiko for fysiske personers rettigheder og frihedsrettigheder”.‒ Er navnlig påkrævet i tilfælde af:

‒ Automatisk behandling

‒ Omfattende behandling af følsomme oplysninger

‒ Omfattende overvågning af offentlige områder

‒ Skal søges rådgivning hos Datatilsynet, hvis konsekvensanalysen viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at mindske risikoen

KONSEKVENSANALYSE ( PRIVACY IMPACT ASSESSMENT)

side 43

− En dataansvarlig eller databehandler skal udpege en DPO, hvis :− behandling foretages af en offentlig myndighed eller et offentligt organ,

− kerneaktiviteterne består af behandlingsaktiviteter, der i medfør af deres karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede i stort omfang, eller

− kerneaktivitet består af behandling i stort omfang af følsomme personoplysninger

− Udpeges ud fra faglige kvalifikationer, herunder kendskab til persondataret

− Rapporterer til den øverste ledelse

− Krav til uafhængighed og beskyttelse mod afskedigelse

− Medarbejder eller outsourcet

DATABESKYTTELSESRÅDGIVER( DATA PROTECTION OFFICER, DPO)

side 44

− Codes of conduct, der kommer til at gælde for − de enkelte sektorer og

− forskellige størrelser af virksomheder

− Udarbejdet af sammenslutninger eller organisationer og godkendes af Datatilsynet

− Kan f.eks. dække− rimelig og gennemsigtig databehandling

− legitime interesser ved behandlingen

− indsamling af personoplysninger

− pseudonymisering

− information om behandlingen

− udøvelse af rettigheder

− behandlingssikkerhed, sikkerhed by design og default

− Hvad er fordelene og hvad er risikoen?

ACCOUNTABILITY | CODES OF CONDUCT

side 45

− Certificeringsordninger som viser overholdelse af forordningen – herunder i forhold til forskellige størrelser af virksomheder

− Udarbejdet af særligt akkrediterede organer eller af datatilsyn

− Formindsker ikke den dataansvarliges eller databehandlerens ansvar for at overholde forordningen eller Datatilsynets beføjelser

− Hvad er fordelene og hvad er risikoen?

ACCOUNTABILITY | CERTIFICERING

side 46

− Territoriale anvendelsesområde: Forordningen omfatter også dataansvarlige og -behandlere, der ikke er etableret i EU, når de behandler oplysninger om personer i EU, hvis behandlingsaktiviteterne vedrører:− udbud af varer og tjenesteydelser til personer i EU (inklusive gratisydelser)

− overvågning (tracking) af personer i EU (deres adfærd i EU)

− Hovedregel: Lokalt datatilsyn er kompetent inden for medlemsstatens område

− Er en virksomhed etableret i flere EU-lande vil datatilsynet i medlemsstaten, hvor hovedvirksomheden er etableret, være "ledende tilsynsmyndighed” for grænseoverskridende behandling

− dvs. hovedansvarlig for kontrol i alle medlemsstater

KOMPETENCE| HVEM SKAL BEHANDLE HVAD?

side 47

− Retten til ytrings- og informationsfrihed, herunder behandling i journalistisk øjemed

− Mulighed for, at medlemsstaterne ved lovgivning eller ved kollektive overenskomst kan fastsætte mere specifikke regler for at sikre beskyttelse af rettigheder og frihedsrettigheder i ansættelsesforhold

− Behandling af CPR-nummer

− Behandling til arkivformål

− Kommissionen skal underrettes om nationale regler

SÆRREGLER| SPECIFIKKE BEHANDLINGSSITUATIONER

side 48

− Overtrædelser kan e.o. straffes med meget store bøder. Maksimale bødestørrelser for virksomheder:− Op til det højeste af 10.000.000 EUR eller (hvis der er tale om en virksomhed)

2 % af virksomhedens globale årlige omsætning for visse overtrædelser

− Op til det højeste af 20.000.000 EUR eller (hvis der er tale om en virksomhed) 4 % af virksomhedens globale årlige omsætning for de fleste overtrædelser

− Bødeniveauet fastsættes på baggrund af mange faktorer, herunder karakteren, alvoren og varigheden af overtrædelsen, forsæt/uagtsomhed

− Den registrerede har herudover ret til erstatning for overtrædelse af forordningen− Der gælder en omvendt bevisbyrde

− Databehandlere kan også ifalde erstatningsansvar over for den registrerede

SANKTIONER | BØDENIVEAUET

side 49

Afrunding

DEL III

side 50

Før design og implementering af en løsning bør man foretage følgende:

− Få kortlagt dataene og behandlingen− Typer af oplysninger− Kilder− Behandling og formål− Modtagere

− Få identificeret, hvilke af forordningens krav der gælder for organisationen

− Etabler fornødne strukturer, og fordel roller

− Identificér mulige compliance-gaps:− I forhold til nugældende regulering− I forhold til forordningen

− Gennemfør en risikovurdering / konsekvensanalyse

Ting tager tid -- husk at komme hurtigt i gang!

TIPS TIL, HVORDAN MAN KOMMER I GANG

side 51

Mads Nygaard Madsen er specialiseret i IT-ret. Hans rådgivning dækker alle områder af IT-retten, herunder outsourcing og softwarelicensforhold, samt persondataret. Han rådgiver en bred vifte af danske og internationale klienter vedrørende såvel kontraktforhold somtvister vedrørende IT.

Inden for det persondataretlige område rådgiver han bl.a. om compliance og udarbejdelseaf kontraktvilkår vedrørende behandling af personoplysninger.

Mads er certificeret IT-advokat og har siden 2014 været næstformand for brancheorganisationen Danske IT-Advokater.

Mads Nygaard

Madsen

Partner

Specialer

IT-ret, herunder persondataret

Dir: +45 3334 4157Mob: +45 5234 4157E-mail: mnm@horten.dk

Karriere

Certificeret juridisk ekspert i IT-tvister, 2013Certificeret IT-advokat, 2010Partner, Horten, 2006Advokatbeskikkelse, 2002

PROFIL | MADS NYGAARD MADSEN

Uddannelse

Cand.jur., Københavns Universitet, 1999Master of Arts (Economics), Boston University, Boston, USA, 1997HA(dat.), Copenhagen Business School, 1994

side 52

Heidi Steen Jensen rådgiver om immaterialret og markedsføringsret. Internetrelaterede emner er en væsentlig del af hendes specialeområder, både i relation til immaterialretten og markedsføringsretten.

Inden for immaterialretten er Heidis fokus på varemærkeret, ophavsret og designret, hvor hun rådgiver både på kontraktsiden og fører retssager. I relation til markedsføringsretten har hun en indgående specialisering i relation til markedsføringsloven generelt med et særligt fokus på online markedsføring, eksempelvis keywords og anden brug af varemærker på internettet, spam, sociale medier, domænenavne mv. Yderligere rådgiver hun om produktefterligninger og andre overtrædelser af god markedsføringsskik.

Heidi Steen Jensen

Partner, Attorney

Specialer

Markedsføring, e-handel ＆ betalingstjenesterImmaterialretIt-ret ＆ telekommunikationMedia ＆ entertainment

Dir: +4533344116Mob: +4552344116E-mail: hsj@horten.dk

Karriere

Partner, Horten, 2011Certifieret IT-advokat, 2010Møderet for landsret, 2008Advokatbeskikkelse, 2005Advokatfuldmægtig, Horten, 2002:

PROFIL | HEIDI STEEN JENSEN

Uddannelse

Cand.jur., Københavns Universitet, 2002HA.jur., Aalborg Universitet, 1998

side 53

Charlotte Kunckel rådgiver primært offentlige myndigheder og private virksomheder om udbudsret, persondataret samt udfærdigelse af komplekse kontrakter, herunder særligt it-kontrakter. Herudover rådgiver hun om offentlig ret, herunder om EU-ret, statsret, energi-og forsyningsret og miljøret. Endvidere har Charlotte Kunckel omfattende erfaring med førelse af retssager og klagesager inden for de ovennævnte områder.

Charlotte Kunckel

Specialistadvokat

Specialer

Udbudsret og EU-retPersondataretIt-ret＆ telekommunikationOffentlig retMiljøret, planret ＆ byggeretEnergiret ＆ forsyningsretRetssager

Dir: +4533344366Mob: +4552344366E-mail: CKU@horten.dk

Karriere

Certificeret juridisk ekspert i IT-tvister, 2013-2015Advokat, Horten, 2013Advokat, Accura, 2011-2013Certificeret IT-advokat, 2010-2015Møderet for Højesteret, 2008Møderet for landsret, 2003Advokatbeskikkelse, 2003Advokatfuldmægtig og advokat, Kammeradvokaten/Advokatfirmaet Poul Schmith, 2000-2011:

PROFIL | CHARLOTTE KUNCKEL

Uddannelse

Eksamineret projektleder (DJØF), 2009Mediatoruddannelse med overbygning i IT-mediation, 2007Cand.jur., Aarhus Universitet, 2000LL.M. with Commendation, University of Bristol, England, 1998

side 54

Egil Husum rådgiver en lang række offentlige myndigheder samt danske og udenlandske virksomheder om persondataretlige spørgsmål og privacy. Rådgivningen vedrører overholdelse af gældende regler (compliance), overvejelser i forbindelse med indførelse af ny teknologi og nye initiativer og kontakt til Datatilsynet og andre offentlige myndigheder i forbindelse med afklaring af ansvar. Han skriver endvidere artikler om persondataretlige spørgsmål til danske og udenlandske medier.

Egil Husum

Advokat

Specialer

Offentlig retPersondataretGamingMedia ＆ entertainmentIt-ret ＆ telekommunikation

Dir: +45 3334 4224Mob: +45 5234 4224E-mail: ehu@horten.dk

Karriere

Certificeret IT-advokat, 2013Advokat, Horten, 2007Advokatbeskikkelse, 2007Advokatfuldmægtig, Horten, 2005-2007Juridisk Konsulent og souschef, Jura Gentofte Kommune, 2001-2005Souschef, Flygtningenævnets Sekretariat, 2000-2001Jurist, Indenrigsministeriet, 1996-2000Jurist, Udlændingestyrelsen, 1994-1996

PROFIL | EGIL HUSUM

Uddannelse

Cand.jur., Københavns Universitet, 1993

Horten AdvokatpartnerselskabPhilip Heymans Allé 7DK-2900 Hellerup, Copenhagen

Tel. 3334 4000Fax 3334 4001info@horten.dk horten.dk