Webinar om Persondataforordningen10. april 2018 9:30-10:15

Advokat Lars Japp Haslund

HELT KORT OM LUNDGRENS

2

+ 130 ansatte

+ 80 jurister

Full-service på

større kommercielle

juridiske områder

Blev til

Lundgrens i 2016

Hellerup,

København

FAST EJENDOM & ENTREPRISE

KONKURRENCE-RET

M & A

FINANS & KAPITAL-MARKED

CORPORATE & COMMERCIAL

SKAT

PERSONDATA

OFFENTLIG VIRKSOMHED

MEDIA & ENTERTAIN-

MENT

FORSIKRING & ERSTATNING

IP & LIFE SCIENCE

ANSÆTTELSES-RET

IT & TECHNOLOGY

REKONSTRUK-TION &

INSOLVENS

RETSSAGER & VOLDGIFT

Sygedage Udseende

Telefonnummer

Jobinformation

Biometri

Genetik

Skostørrelse

Økonomi

Nationalitet

Navn

Køn

Adresse

CPR-nr.

Civilstand

Uddannelse

Familieforhold

Etnicitet og raceNummerplade

Straffeattest

Fotografi

IP-adresse

Religion

Helbredsoplysninger

Fagforeningsmæssigt

tilhørsforhold

Politisk

overbevisning

VideooptagelseSeksuel orientering

Båndoptagelse

af stemme

Lokation

Medlemskaber

Persondata

PERSONDATA – EKSEMPLER

= særlige kategorier af persondata

(”følsomme oplysninger”)= (almindelig) persondata3

PERSONDATA – KORT OM NOGLE GRUNDBEGREBER

4

EU/EEA

4

PERSONDATAFORORDNINGEN - I KAMPEN OM PERSONDATA

Persondataforordningen får virkning 25. maj 2018.

• Forordningen trådte i kraft i maj 2016. EU gav medlemsstater, virksomheder mv. 2 år til at blive klar.

• Mange krav i forordningen er ikke nye. Fx Indsamling til bestemte formål, ‘sletning’, når formålet ophører og mange af registreredes rettigheder. Gælder efter persondataloven i dag.

• Der er dog også en del ny regler og krav i forordningen.

• Nogle krav fastlægges i en ny dansk persondatalov, der får virkning samtidig med forordningen.

• Virksomheder skal være klar til disse regler den 25. maj 2018. Fra denne data er Datatilsynet forpligtet til at begynde håndhævelsen.

• I denne præsentation fremhæves nogle af de væsentligste nye krav og nogle forslag til, hvad I kan gøre allerede nu.

5

PERSONDATAFORORDNINGEN – OM NOGLE AF DE NYE PÅ HOLDET

1. Stærkere og afskrækkende Datatilsyn skal sikre reglerne

• For at sikre, at reglerne overholdes har tilsynsmyndighederne fået skrappere beføjelser. Mest i øjenfaldende er de store bødestraffe.

• Afhængig af lovovertrædelsen: 10 millioner € / 2 % af global omsætning eller 20 millioner € / 4 % af global omsætning for virksomheder. EU ville have hurtige, afskrækkende administrative bøder.

• Datatilsynet kan ikke udstede endelige administrative bøder, men et bødeforlæg. Accepterer virksomheden ikke dette, skal sagen køre som straffesag ved domstol, der fastlægger bøden.

• Dataansvarlig hæfter for alle sine behandlinger, herunder for brug af databehandlere.

• Der er solidarisk ansvar – så registrerede kan også vælge at gå efter databehandler for dataansvarliges fejl. Derefter må parterne fordele ansvar.

6

PERSONDATAFORORDNINGEN – OM NOGLE AF DE NYE PÅ HOLDET

2. Mere ansvarlighed, mindre bureaukrati

• Ansvarlighed – måske det mest væsentlige nye: Virksomheder skal på ethvert tidspunkt kunne påvise – dokumentere – at forordningen overholdes.

• Fx lovligt formål, samtykke eller andet retsgrundlag, slettefrister, sikkerhed, brug af databehandlere efter aftale osv.

• DPIA: Der skal i visse tilfælde laves ‘konsekvensanalyser’ på nye behandler af persondata for at afdække og imødegå evt. risici

• DPO: myndigheder og visse organisationer skal udpege en data protection officer. Kriterier for dette er spegede.

• Fortegnelse over behandlingsaktiviteter.

• Der er mindre bureaukrati, før behandlinger kan iværksættes. Kun få behandler kræver forudgående anmeldelse eller tilladelse fra et tilsyn.

7

PERSONDATAFORORDNINGEN – OM NOGLE AF DE NYE PÅ HOLDET

3. Brud på persondatasikkerheden

• Ved databrud – både hændeligt og utilsigtet – skal der inden 72 timer ske underretning til tilsynet, med mindre usandsynligt at der er risiko for de registreredes rettigheder og frihedsrettigheder.

• Ved høj risiko de registreredes rettigheder og frihedsrettigheder skal de registrerede underrettes.

• Dvs. kunder, borger mv. skal oplyses om disse hændelser, så de kan tage forholdsregler.

• Vigtigt at have en plan for, hvordan dette håndteres, så fristerkan overholdes, OG der kun sker underretning, når det errelevant og nødvendigt.

8

PERSONDATAFORORDNINGEN – OM NOGLE AF DE NYE PÅ HOLDET

4. Privacy by Design and default

• Den dataansvarlig skal tænke databeskyttelse ind i sine (nye) systemer og arbejdsgange, så det er en del af ‘design’ og ‘standardindstillingerne’ at passe på persondata.

• Gælder ikke eksisterende systemer, men nye eller væsentlige ændringer.

• Husk dog, at systemer, der ikke kan overholde gældende regler –fx elementær sletning – er allerede i problemer.

9

PERSONDATAFORORDNINGEN – OM NOGLE AF DE NYE PÅ HOLDET

5. De registreredes rettigheder

• Mange rettighederne er gældende i dag fx information, indsigt.

• Visse er nye, fx retten til at få data med (dataportabilitet), der gælder i visse situationer.

• Den dataansvarlig må forberede sig på at kunne håndtere rettigheder og vide, hvad der skal oplyses.

• Fx hvilke oplysninger skal der gives, når en medarbejder bliver ansat, når en kunde køber en vare, melder sig til et nyhedsbrev eller bruger virksomhedens hjemmeside

• Oplysningspligten er generelt udvidet, og der skal gives flere informationer om brugen af persondata i disse tilfælde.

• Dataansvarlig må også have taget stilling til, hvordan gives indsigtsret i de oplysninger, der behandles fx til en ansat.

• Eller hvad hvis en kunde kræver ale oplysninger slettet (”retten til at blive glemt”) – der ikke er en ubetinget ret .

10

BETYDNING FOR ERHVERVSLIVET

11

Næppe en overraskelse, da personoplysninger indgår i en række sammenhænge fx:

• HR: Ansatte, ansøgere, tidligere ansatte

• Kunder (branche, B2C, B2B)

• Særlige pligter, fx hvidvask, journalpligt

• Markedsføring, nyhedsbreve, websites, tracking, profilering

• Finans og bogholderi

• IT systemer og IT sikkerhed, herunder logs, monitorering tv-overvågning

BREAKING NEWS: HELE ERHVERVSLIVET ER RAMT

GDPR

BETYDNING FOR ERHVERVSLIVET

1. Set scenen

• Strategi: Hvad vil organisationen med opgaven/projektet? Synliggør risici og gevinster for ledelsen og få ‘commitment’

• Scope – omfanget af opgaven fastlægges:

• Fastlægge nøglepersoner der skal inddrages.

• Ressourcer: hvem skal anvendes i forretningen og skal der ekstern bistand til?

• DPO – de fleste næppe. Overveje forankring af ‘persondata’-ansvar.

• IT tool til understøttelse – er det nødvendigt?

2. Mobilisering

• Nøglepersoner evt. have indledende, kort træning for at kunne besvare meningsfuldt på data mapping skemaer, jf. om lidt.

3. Styring og revidering

• Formentlig være behov for nogle tilpasninger; pas på med scope-screep, det er også en risikodisciplin

Organisér

12

BETYDNING FOR ERHVERVSLIVET

1. ”Data mapping” – skabe overblik og grundlag for analyse

• I hvilke processer bruges persondata? (bl.a. afklare)

• Hvilke persondata har vi - og om hvem

• Formål og hvilket behandlingsgrundlag, fx samtykke – er det opdateret?

• Hvor indsamler vi persondata fra

• Hvor længe har vi det og sletter vi ? Hvornår skal vi slette?

• Informerer vi de registrerede korrekt – og kan vi håndtere rettigheder; fx anmodning om indsigt

• Bruger vi databehandlere, og har vi databehandleraftale med dem? Er de i EU – og hvis ikke, kan vi lovligt overføre persondata?

• Hvem videregiver vi oplysninger til – og på hvilket grundlag?

• Har vi dokumentation for, hvad vi gør og bruger persondata til?

2. IT sikkerhed og - systemer: har vi overblik over risiko og systemer?

• Kan vi understøtte de registreredes rettigheder; evt. tilpasninger

3. ”Gap analyse” på baggrund af oversigter og evt. supplerende informationer

4. Handleplan for det der skal fikses

Analysér

13

BETYDNING FOR ERHVERVSLIVET

1. Udføre handlinger for at komme på plads, typiske opgaver

• Generel politik for behandling af personoplysninger, herunder sletning og ‘årshjul af opgaver’. Evt. specifikke politikker på særlige områder fx HR, salgskundeprocesser, markedsføring

• Lave fortegnelser over behandlingsaktiviteter (meget input vil være direkte i en god mappingøvelsen)

• Beredskabsplan for brud på persondatasikkerheden (/evt. kobles til IT incident respons plan)

• Rettigheder. Hvordan håndterer vi rent praktisk anmodning om indsigt, dataportabilitet osv.

• Skabeloner for databehandlingsaftaler, information om behandlinger til de registrerede, samtykkeskabeloner

• Ved nye arbejdsgange og projekter sikres databeskyttelse iagttages og vurderes (”DPIA og DbD”)

2. IT tilpasninger: hvis IT systemer ikke kan håndtere grundlæggende krav og/eller de registreredes rettigheder.

Implementér

14

BETYDNING FOR ERHVERVSLIVET

1. Drift – walk the talk og find løsninger

• Følge politikker og ‘årshjul’ mv.

• Træning og awareness af medarbejdere

2. Audit og kontroller

• Kontrollere at vi følger politikker og regler i praksis

• Virker ‘governance’ det som tilsigtet, sender giver vores databehandlere relevante erklæringer ind, får vi trænet medarbejdere

3. Orientering til ledelsen

• Status på projekt og drift – risikobilledet. Relevante hændelser.

• (Skal de evt. have særlige forsikringer tegnet, hvis ricisi taler herfor)

4. Handle og tilpasse

• Hvis hændelse eller ændret risikobillede – handle og tilpasse

• Rapportering til ledelse osv.

Drift

15

Tak for jeres opmærksomhed

16

KONTAKTINFORMATION OG CV

• Head of Data Protection Team hos Lundgrens Advokatfirma 1/11 2017

• Certificeringer fra IAPP i persondata (FIP,CIPP/E, CIPM)

• Underviser jurister og andre i IAPP certificeringer på JUC.dk

• Underviser i IT Governance certificeringer

• Senioradvokat i Bech Bruun på GDPR 2016-17

• Advokat og senere Global DPO i ROCKWOOL koncernen 2014-2016.

• Advokat i DONG Energy (nu Ørsted) i 6 år, bl.a. compliance med persondataret

Lars Japp HaslundHead of Data Protection

Advokat, Director

T +45 3525 2535M +45 4229 5395E ljh@lundgrens.dk

17

LUNDGRENS LAW FIRM P/S TUBORG BOULEVARD 12 DK-2900 HELLERUP DENMARK

LUNDGRENS.DK INFO@LUNDGRENS.DK