View
99
Download
0
Category
Preview:
Citation preview
Disclaimer and copyright notice
• The presentation is for information purposes only, is general in nature, and is not intended to and should not be relied upon or construed as a legal opinion or legal advice regarding any specific issue or factual circumstance. Nor is this information intended to create, and receipt of it does not create, an attorney-client relationship between you and the firm. Therefore, youshould consult an attorney in the event you want legal advice.
• The person receiving this presentation via email from Synch is solely allowedto review the presentation in digital form or printed form and any further useof the presentation (including but not limited to copying, reproducing, making available, incorporating the presentation into other works or modifying etc.) is subject to Synch prior written authorisation. All rights arevested in Synch.
SynchWakeup @Komfo6 December 2017
Why and how to prepare for the
GDPR
Advokat Niels Dahl-Nielsen, Synch
Synch is a business
oriented law firm
with innovation and
technology at its
”
”
Silicon ValleyCopenhagen
Stockholm
Growth Established Mature
Vores klienter
Dagsorden
Aktuel status på lovgivningsprocessen
Hvad er databeskyttelse?
Betingelser for behandling af personoplysninger
Dataansvarlig eller databehandler?
Brug af SoMe
Forberedelse til GDPR?
Aktuel status pålovgivningsprocessen
Status
• GDPR vedtaget, foråret i 2016 • (bliver håndhævet fra den 25. maj 2018)
• Justitsministeriets betænkning, sommeren 2017• Forslag til ny databeskyttelseslov fremsat 25. oktober 2017
(1. behandling i Folketinget 16. november 2017)• Skal træde i kraft den 25. maj 2018• Den nye databeskyttelseslov skal supplere GDPR med
danske særregler på en række områder• Justitsministeriets vejledninger
Hvad er databeskyttelse?
Personoplysninger skalbehandles
Hvad er personoplysninger?
• Enhver information om en identificeret
eller identificerbar person fysisk person.
• “Følsomme oplysninger” (race eller
etnisk oprindelse, politisk overbevisning,
religiøs eller filosofisk overbevisning,
fagforeningsmedlemskab, genetisk eller
biometrisk data, seksuel orientering,
helbredsoplysninger)
Navn, IP-adresse,
emailadresse, GPS-
lokation, device
identifiers, biometrisk
data, indkomst,
helbredsoplysninger,
osv.
Hvad er behandling?
• indsamling• registrering• organisering• systematisering• opbevaring• tilpasning• redigering• videregivelse
• søgning• brug• overførsel• tilpasning• strukturering• sammenkøring• tilintetgørelse• vurdering• sletning
Betingelser for behandling afpersonoplysninger
Overvejelser inden behandlingen
1. Er der tale om behandling af personoplysninger?
2. Er de generelle behandlingsprincipper overholdt?
3. Er der hjemmel til behandlingen?
4. Håndtering af de registreredes rettigheder
5. Behandlingssikkerhed
Generelle behandlingsprincipper• Lovlighed, rimelighed og gennemsigtighed
• Formålsbegrænsning
• Dataminimering
• Rigtighed
• Opbevaringsbegrænsning
• Integritet og fortrolighed
• Ansvarlighed (accountability)
Definition af behandlingens formål
• Hvilke opgaver løser vi, og hvilke data understøtter løsningen afdisse opgaver?
• Princippet om formålsbegrænsning
• Indsamling må kun ske til specifikke, udtrykkelige og legitime formål
• Behandling kun i overensstemmelse med formålet
• Viderebehandling må ikke være uforenelig med formålet
• Formålet vil afgøre
• Grundlaget for behandlingen
• Hvilke data, der kan indsamles
Princippet om dataminimering
• Alene indsamling af personoplysninger, der er
relevante og tilstrækkelige til opfyldelse af
behandlingsformålet
Princippet om opbevaringsbegrænsning
• Personoplysninger må kun opbevares (i
personhenførbar form) så længe det er nødvendigt
af hensyn til behandlingsformålet
• Slettepolitikker skal understøtte dette
Ansvarlighed (accountability)
• Man skal sige, hvad man går – og forklare hvorfor
• Man skal gøre, hvad man siger – og dokumentere det
Behandlingsgrundlag – hjemmel?
Opfyldelse afkontrakt
Overholdelseaf en retligforpligtelse
Nødvendig for beskyttelse af
den registreredesvitale interesser
Samfundets interesse eller udøvelse af
offentlig myndighed
Interesseafvejning
Samtykke
Om samtykke
Samtykker kan tilbagekaldes!
Frivilligt, specifikt, informeret, utvetydigt
“Udtrykkeligt” ved følsomme
oplysninger
Let forståeligt
Hvis afgivet sammen med
andre vilkår – klart
fremhævet
HUSK
dokumentationskravet!
Behandling af følsommeoplysninger• Behandling som udgangspunkt forbudt, medmindre
• Udtrykkeligt samtykke• Nødvendig på det arbejdsretlige område med hjemmel i lovgivning• Nødvendig for beskyttelse af vitale interesser• Tydeligvis offentliggjort af den registrede• Politiske, religiøse, faglige foreningers behandling af oplysninger om
medlemmer• Nødvendig for at retskrav kan fastlægges, gøres gældende eller
forsvares• Væsentlige samfundsinteresser• Nødvendigt på sundhedsområdet af personer underlagt
tavshedspligt• Arkivering i samfundets interesse, eller videnskabelige formål m.v.
Pligter overfor den registrerede –oplysningspligt
• Privacy policy / privacy notice• Præcist og letforståeligt sprog• Gives for at den registrerede
kan vurdere risici vedbehandlingen
• Gives når• De indsamles fra den registrerede• Inden for rimelig tid, hvis
indsamlet fra tredjemand, ellerved første kommunikation, ellernår oplysningerne videregives
Kontaktoplysningerpå den
datanasvarlige (og
DPO)Opbevaringsperiode
Kategorier
af
modtagereOplysning
om
overførsel til
tredjemand
og
safegurads
Formål og grundlag
for behandlin
gen
Information
om de
registreredes
rettigheder
Div.
Yderligere
oplysninger
Overholdelse af den registreredesrettigheder
Ret tilberigtigelse
Ret til ikke at være genstand
for profilering
Ret til data-portabilitet
Ret til sletning
Indsigtsret
Ret til indsigelse
Ret tilbegrænsningaf behandling
Organisatoriske krav og behandlingssikkerhed• Tilstrækkelige sikkerhedsmæssige og organisatoriske
foranstaltninger
• Underretningspligt ved sikkerhedsbrud (72 timer)
• Pligt til at udpege DPO
• Pligt til at føre fortegnelse over behandlingsaktiviteter
• Konsekvensanalyser
Outsourcing af databehandling• Outsourcing af behandlingsaktiviteter indebærer, at behandlingen
af data overlades af en ekstern part• Den eksterne part behandler data på den dataansvarliges vegne i
henhold til instruks• Hvor data overføres til et land uden for EU/EØS, kan dette kun ske,
hvis der er et tilstrækkeligt beskyttelsesniveau• EU/EØS • Sikre tredjemande• Usikre tredjelande
• SCC• Ad hoc-aftaler
• USA?
Dataansvarlig ellerdatabehandler?
Hvem er hvem?
Datasubjekt Dataansvarlig Databehandler Underdatabehandler
Online trader Cloud Service Provider Datacenter
Dataansvarlig og databehandler• Dataansvarlig• Den, der afgør til hvilke formål og med hvilke hjælpemidler, der
må foretages behandling af personoplysninger
• Databehandler• En, der behandler personoplysninger på den dataansvarliges
vegne• Handler udelukkende efter instruks fra den dataansvarlige og
må alene anvende oplysningerne til udførelsen af opgaven for den dataansvarlige
• Som noget nyt kan også databehandleren ifalde ansvar
Den dataansvarliges forpligtelser
• Som dataansvarlig har man ansvaret for, at en behandling lever op til GDPR, herunder fx:• Generelle behandlingsprincipper• Der skal være et retligt grundlag for behandlingen• Overholdelse af de registreredes rettigheder• Indberetning af eventuelle brud på persondatasikkerheden• Ved brug af databehandlere, skal der indgås
databehandleraftaler• Du skal føre tilsyn med databehandlere (og
underdatabehandlere)
Databehandlerforhold?
• Hvilken ydelse skal leveres?
• Alene tale om en databehandlersituation, hvis der behandles personoplysninger efter instruks fra en dataansvarlig
• Hvis levering af ydelsen ikke kræver, at der afgives en instruks om at behandle personoplysninger, vil det ikke være en databehandlersituation. Gælder også selvom den anden part modtager visse personoplysninger, som er nødvendige for levering af (hoved)ydelsen.
Er din databehandler databehandler?...
• Hvem træffer afgørelse om formål og hjælpemidler?
• Kan du bede din ”databehandler” om at slette
oplysningerne?
”Overladelse” vs ”videregivelse”• ”Overladelse” kan ske frit, mens ”videregivelse” kræver
hjemmel og opfyldelse af oplysningspligt
• Derfor afgørende for den dataansvarlige at afklare, hvem en modtager af personoplysninger er
• En intern person• Data kan frit overlades internt (samme CVR-nr.)• De generelle principper• Autorisation og fortrolighed
• En databehandler• Data kan frit overlades til databehandler, men der skal indgås
databehandleraftale• Databehandleraftalen skal indeholde en instruks• Der skal føres tilsyn med databehandleren
• Tredjemand (ny selvstændig dataansvarlig)• De generelle behandlingsprincipper (bla. formålsbegrænsning)• Behandlingsgrundlag
Videregivelse til ny selvstændig dataansvarlig
• Videregivelse til en anden selvstændig dataansvarlig
• Der kræves:• Hjemmel til videregivelse• Hjemmel til at modtage (behandle) oplysninger
• (Hvis ikke databehandlerforhold, brug anden hjemmel end samtykke)
• Modtagende part skal opfylde sin oplysningspligt
Databehandler Databehandleraftale• Skal være skriftlig og elektronisk• Databehandleren skal iværksætte sikkerhedsforanstaltninger (art. 32)• Databehandleren bistår den dataansvarlige med overholdelse af de
registreredes rettigheder• Brug af underdatabehandlere kræves der skriftlig, forudgående specifik eller
generel tilladelse fra den dataansvarlige• Underdatabehandleraftalen skal pålægge underdatabehandleren de
samme pligter som databehandleren• Databehandleren er ansvarlig over for den dataansvarlige for
underdatabehandlerens behandling• Databehandleren skal tilbagelevere eller slette alle oplysninger ved ophør• Databehandleren stiller alle nødvendige oplysninger til rådighed og tillader
audit• (listen er ikke udtømmende)
Brug af SoMe
SoMe – Dataansvarlig eller databehandler?• Datatilsynets afgørelse af den 8. november 2013:• Myndighed planlagde at oprette en profil på Facebook til
brug for pilotprojekt og rettede henvendelse til Datatilsynet
om konsekvenser af eventuel brug
• Myndigheden er dataansvarlig for så vidt angår
oplysninger i “indbakken”
• Facebook er databehandler (med alt, hvad det
medfører…)
Generelt ved brug af SoMe
• Når privatpersoner anvender SoMe til rent private formål,
gælder GDPR ikke• Et post kan dog være tilgængeligt for så mange personer, at
det sidestilles med ”offentliggørelse”, og så gælder GDPR
• Virksomheders brug af SoMe er erhvervsmæssig (og
indebærer behandling af personoplysninger) og er derfor
omfattet af GDPR
Brug af Facebook audiences -markedsføringsretligt
• ”Elektronisk post” (SMS/e-mail) eller ”anden kommunikation”?• Samtykkekrav eller krav om mulighed for opt-out
• Forbrugerombudsmanden• Meddelelser i indbakke eller på tidslinje = elektronisk post• Ads i newsfeed = Usikkert. Dog formentlig ”anden
kommunikation” derfor ikke samtykkekrav, men alene krav om opt-out-mulighed fra hver enkelt annoncør
• Bannerannoncer = ingen af delene
Brug af Facebook audiences -persondataretligt• Erhvervsmæssig benyttelse. Undtagelsen om rent privat formål
gælder ikke
• Annoncøren er dataansvarlig
• Er der tale om ”behandling” fra Facebooks side?• E-mail (hashed) bruges som ”identifier” (og ikke kommunikationsmiddel) og
slettes straks derefter. Behandlingen sker således på vegne af annoncøren.• Facebooks vilkår næppe tilstrækkelige til databehandleraftale
• Hvad er annoncørens behandlingsgrundlag?• Samtykke?• Interesseafvejningsreglen
• Markedsføring ikke illegitimt formål• ”Anden kommunikation” anses for mindre indgribende• E-mailadressen er ”hashed”
Forberedelse til GDPR
Data protection has to be a of
new projects, processes, products, services etc.
Forberedelser• Skab awareness og databeskyttelseskultur (man kan ikke købe
sig til compliance!)
• Data mapping• Leverandører (databehandlere)
• Hvem er de?• Hvilke data behandler de?• Databehandleraftaler på plads?• Dataoverførselsaftaler?
• Skab overblik over data og risici (Gap-analyse)• Læg plan for mitigering af risici • Genbesøg og løbende datagovernance
• HUSK den risikobaserede tilgang
Spørgsmål?
HUSK tilmelding til næste seminar den 17. januar
2018!
Tak for i dag!
Niels Dahl-Nielsen
niels.dahl-nielsen@synchlaw.dk
+45 4030 9749
Recommended