O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018

169 visualizações

Publicada em

Slides fra morgeninspiration i København d. 22/3/2018 om emnet "Er du klar til den nye persondataforordning" præsenteret af IT advokat Tim Nielsen og digital strateg og redaktør Bo Mikael.

Publicada em: Direito
  • Entre para ver os comentários

  • Seja a primeira pessoa a gostar disto

Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018

  1. 1. Er du klar til den nye persondataforordning?
  2. 2. Dataansvarlig eller databehandler? Peytz & Co. – 22. marts 2018
  3. 3. Dagens program 1. Introduktion 2. Dataansvarlig eller databehandler? 3. Håndtering af databehandleraftaler
  4. 4. Introduktion
  5. 5. Introduktion Hvad er fokus for dagens emne? • Overblik! • Fokus på rollefordelingen • Herefter lidt praktisk håndtering af databehandleraftaler • Det skal være relevant • Stil derfor gerne spørgsmål undervejs • Q&A efter sidste indlæg • Slides bliver tilsendt
  6. 6. • Speciale i teknologivirksomheder • Rådgiver bl.a. om • Persondata • IT-anskaffelser & Outsourcing • Licenser • Konflikter • …og andet branchespecifikt • Certificeret IT-advokat • Medlem af International Association of Privacy Professionals • DAHL i København siden 2014 • Kromann Reumert 2006-2014 • 2006-2008 - Selskabsret og finansiel regulering • 2008- Teknologivirksomheder Advokat tim@dahllaw.dk 88 91 98 21 61 91 51 05 Tim Nielsen
  7. 7. Hvem er DAHL? • 5 kontorer • 200 medarbejdere • Opdelt i specialer, f.eks. • Persondata • IT-forhold • HR-forhold • Outsourcing • Selskabsforhold • Skatter og afgifter • …osv. ESBJERG AARHUS VIBORG HERNING KØBENHAVN
  8. 8. Dataansvarlig eller databehandler?
  9. 9. PERSONDATA ER EN TILLIDSSAG
  10. 10. Intro til persondataretten • “Enhver form for information om en identificeret eller identificerbar fysisk person” •  Kan personen findes, er det persondata • …også selvom det er næsten umuligt • Særlig regulering!
  11. 11. Intro til persondataretten Persondata omfatter f.eks.:  Direkte: Navn, adresse, telefonnummer, e-mail osv.  Indirekte: Kundenummer, referencer, billeder, lyd osv.  “Umulige”: IP-adresser, eksternt kundenummer, krypterede data, lokationsdata osv. Persondata omfatter f.eks. ikke:  Teknisk data  Anonyme data  …forudsat at data ikke er sammensat med persondata  Næsten umuligt ikke at behandle persondata
  12. 12. Hjemmel • Hvilke data indsamlet og fra hvem? Formål? Alm/Følsom data? Hjemmel? Overholdes reglerne? Datasæt Lovlig behandling! • Hvilket formål indsamles data til – hvad skal data bruges til? • Er det almindelig eller følsom data? • Hvilken hjemmel anvendes ved indsamlingen, f.eks. samtykke eller lov? • Overholder jeg i øvrigt reglerne (f.eks. Dataminimering, sikkerhed etc.) • Så må data bruges • …til det konkrete formål, med den konkrete hjemmel etc.
  13. 13. Parterne • Fysisk person oplysningerne identificerer • Den hele beskyttelsen omhandlerRegistreret Dataansvarlig Databehandler • Dataejeren • Bestemmer over oplysningerne om den registrerede • Fuldt ansvarlig for reglernes overholdelse • (Under)leverandør • Behandling af oplysninger om registrerede på vegne af dataansvarlig • Begrænset ansvar for behandlingen
  14. 14. Dataansvarlig eller databehandler? Dataansvarlig eller databehandler? • Afgørende hvem der bestemmer • Formålet • Hjælpemidlerne • Reelt afgørende, om der handles efter instruks eller på eget initiativ • Dermed også afgørende, hvilken ydelse der leveres • Er databehandlingen ydelsen eller en accessorisk ydelse? • Afgrænsningen er ikke helt nem! • Dette på trods af en række vejledninger
  15. 15. En tredje mulighed? Er man altid enten dataansvarlig eller databehandler • Ja - også i koncerner! • …og så alligevel… • Medarbejdere er ikke dataansvarlig/databehandler • Muligvis undtagelse for medarbejderlignende forhold • Direkte instruks, kontrol osv. som var det en medarbejder • Dog uklar rækkevidde • Fremgår ikke af forordning eller vejledninger
  16. 16. Eksempel 1 Eksempel 1 - Hosting • Adgang til kundens persondata?: Ja • Hvem bestemmer formål databehandling: Kunden • Hvem bestemmer hjælpemidler?: Kunden (i teorien i hvert fald)  Kunde: Dataansvarlig for egne data  Leverandør: Databehandler
  17. 17. Eksempel 2 Eksempel 2 - Konsulentydelser • Adgang til kundens persondata?: Måske • Hvem bestemmer formål databehandling: Kunden • Hvem bestemmer hjælpemidler?: Kunden (i teorien i hvert fald)  Kunde: Dataansvarlig for egne data  Leverandør: Databehandler – hvis ydelsen reelt omhandler behandling af persondata  Dvs. ikke ren programmering  Men måske nok f.eks. migrering  Måske mulighed for hverken eller? (p.t. uklart!)
  18. 18. Eksempel 3 Eksempel 3 - Pakkeleverandør • Adgang til kundens persondata?: Ja – oplysninger om slutkunden • Hvem bestemmer formål databehandling: Kunden? • Hvem bestemmer hjælpemidler?: Leverandør  Kunde: Dataansvarlig  Leverandør: Dataansvarlig
  19. 19. Forskellige typer data Kundens data – eller data om kunden? • Kundens data  Databehandler eller evt. dataansvarlig • Kundens kunder • Kundens databaser • Data om kunden  Dataansvarlig • Kontaktperson hos kunden • Oplysninger om kunden
  20. 20. Konsekvenser Konsekvenser af afgrænsningen (eksempler) • Dataansvarlig: Det fulde ansvar • Lovlig behandling (formål, hjemmel, sletning osv.) • Registreredes rettigheder (oplysningspligt, indsigt, sletning osv.) • Sikkerhedskrav • Kontrol med databehandlere • Dokumentation • 4% bøder
  21. 21. Konsekvenser Konsekvenser af afgrænsningen (eksempler) • Databehandler: Begrænset ansvar • Lovlig behandling (formål, hjemmel, sletning osv.) • Registreredes rettigheder (oplysningspligt, indsigt, sletning osv.) • Dog hjælpe dataansvarlig med opfyldelse af pligter • Sikkerhedskrav • Kontrol med databehandlere • Dokumentation • 4% bøder • 2% …forudsat at der handles indenfor instruks! • (4% dog for overførelse til tredjeland og manglende overholdelse af påbud)
  22. 22. Håndtering af databehandleraftaler
  23. 23. Overførelse Dataansvarlig Databehandler • ”En databehandlers behandling skal være reguleret af en kontrakt eller et andet retligt dokument…” •  Hjemmel til databehandlerens lovlige behandling af data • Fastsætter vilkårene for behandlingen • Legale krav • Kommercielle krav • Behøver ikke være en selvstændig aftale – kan godt være del af hovedaftale
  24. 24. Videregivelse • Videregivelse kræver ikke en databehandleraftale • Til gengæld kræver det særskilt hjemmel, f.eks. samtykke eller nødvendighed • Typisk restriktiv adgang hertil • Normalt ikke ønskeligt – uden nærmere overvejelser Dataansvarlig Dataansvarlig
  25. 25. Ansvar for databehandleraftalen Hvem har ansvaret for at indgå databehandleraftale? • Begge parter! • Det er den der gør det lovligt at behandle data • Dataansvarlig må ikke overlade data • Databehandler må ikke behandle data • Databehandling udenfor instruks  Dataansvarlig • Uklart om blot fraværet af skriftlig aftale har denne konsekvens  Hvis tvivl, indgå en databehandleraftale!  …med mindre klart dataansvarlig - dataansvarlig
  26. 26. Databehandleraftalen som koncept Underdatabehandlere  Leverandør: Start kæden ”bagfra” og brug så vidt muligt egen databehandleraftale  Kunde: Undgå overimplementering – det kan umuliggøre/fordyre brug af underleverandør Kunden (dataansvarlig) Leverandør (databehandler) Underleverandør (underdatabehandler) Underleverandør (underdatabehandler) Jura Kommercielt Databeskyttelsesforpligtelser Jura Kommercielt
  27. 27. Kontakt Tim Nielsen, Advokat Mobil: +45 61 91 51 05 Direkte: +45 88 91 98 21 E-mail: tim@dahllaw.dk
  28. 28. Er du klar til den nye Persondataforordning ?
  29. 29. Bo Mikael + Journalist og redaktør siden 1982 + Arbejdet digitalt siden 1996 + Kontaktdirektør hos Peytz & Co Disclaimer + Jeg er IKKE jurist + Forordningen er IKKE trådt i kraft + Den danske lovgivning er IKKE på plads
  30. 30. Fødselsdato Helbredsoplysninger IP-adresse Kreditkort Tøj- og sko-størrelser Billede Fagforening Parti Adresse Race Køn Telefonnummer Mail Sexuel overbevisning Pasnummer Religion Sociale issues GPS-info Straffeattest Uddannelse MAC-adresse Genetiske informationer Elektroniske spor Familie-informationer StillingLogin Interesser Og så er jeg jo også alt det her Varekøb
  31. 31. Det skal I gøre + Få overblik over data + Tjek jeres samtykker + Tjek jeres cookies + Tjek jeres databehandleraftaler
  32. 32. Dét her har I heldigvis allerede afklaret! + Hvor I indsamler jeres data + Hvilke data I indsamler + At I har samtykke (permission) + At I ved hvordan håndterer I jeres data + Hvor jeres data ligger ? + At I har databehandleraftaler på plads
  33. 33. Øhhhh..!
  34. 34. OK – så tager vi lige en opsamling!
  35. 35. Hvor opsamler I data? + Gennemgå jeres brugergrænseflader og identificér, hvor I opsamler data
  36. 36. Hvad er det, I indsamler? + Hvilke data…? ▫ Navn ▫ Adresse ▫ Interesser ▫ Andet + Er det særligt følsomme informationer? + De rigtige samtykker
  37. 37. Hvordan bruges data? + Bruges de til kontakt? + Til salg? + Sammen med data fra andre kilder, f.eks. cookies? + Sammen med statistik fra Google Analytics eller Siteimprove? + Dækker samtykkerne? + Bruges data efter hensigten?
  38. 38. Hvem arbejder med jeres data? + Er det jer selv, der behandler data? + Eller er det en ekstern partner? + Sker det i EU, i et sikkert land eller i et usikkert land? !!!
  39. 39. Hvordan er data-sikkerheden? + Er det hele beskrevet? + Har I en procedure for alt! + Ellers få den eller dem lavet! + Har I databehandler-aftaler? + Ellers få én – nu!
  40. 40. Databehandler-aftalen + Er I dataansvarlige eller databehandleren? + Har I en aftale eller aftaler, der afspejler dette? !!!
  41. 41. Hvor ligger jeres data? + På egne servere? + I et eksternt server-miljø? + I skyen? + I EU, under Privacy Shield-aftalen eller i usikkert 3. land?
  42. 42. Hvordan er data beskyttet? + Hvem har adgang til servere? + Hvordan er jeres interne retningslinjer? + Er I i stand til at slette data? + Kan I flytte data? + Er det hele beskrevet? Ellers få det gjort! + Har I databehandler-aftaler?
  43. 43. Hvad betyder det så ellers?
  44. 44. Samtykke, samtykke og atter samtykke + Samtykke er læserens/brugerens accept af f.eks.: ▫ At modtage et nyhedsbrev ▫ At blive kontaktet på anden vis ▫ At vedkommendes data behandles ▫ At vedkommendes data indgår i en segmentering ▫ Og rigtigt meget andet !!!
  45. 45. Et samtykke skal… + … være frivilligt + … være informeret + … være specifikt + … kunne trækkes tilbage !!!
  46. 46. Et samtykke må… + … ikke være underforstået + … ikke være koblet sammen med ”køb” af en anden ydelse + … ikke være for generelt !!!
  47. 47. Som dataansvarlig skal du + … kunne bevise, at den registrerede har givet sit samtykke + … have en standard for at afmelde eller slette en person + … altid informere om: ▫ den dataansvarliges identitet ▫ formålet med den påtænkte behandling ▫ hvilke oplysninger, der behandles og om hvilken behandling, der finder sted !!!
  48. 48. Cookies
  49. 49. Cookies er IKKE en del af GDPR, men… + Cookies kan indsamler mange forskellige slags informationer ▫ Anonyme ▫ Personlige ▫ Følsomme + Derfor kan dine cookies kan blive omfattet af GDPR
  50. 50. Der er forskellige cookie-formål + Strictly necessary + Performance + Functionality + Targeting
  51. 51. What to do? + Tjek jeres sites for cookies + Identificer de cookies, der indsamler personhenføredata (og find alle de andre samtidig) + Revidér jeres Cookie- og Privatlivspolitik
  52. 52. Når det er gjort, så sørg for at jeres Cookie- og privatlivspolitik er ajour
  53. 53. Cookie- og privatlivspolitik (best practice) • Ejeroplysninger • Hvad er cookies? • Hvor bruger I dem? • Så længe varer cookies? • Sådan kan man undgå og slette cookies • Hvilke cookies bruges og hvad bruges de til? • Optimering af visning • Statistik • Sociale medier • Markedsføring • Kontaktinfo
  54. 54. Cookie- og privtalivspolitik (best practice) EKSEMPEL: ABC anvender analyseværktøjer fra blandt andet Google Analytics til at udarbejde statistik over brugernes færden på vores site. Google Analytics m.fl. behandler oplysningerne på vegne af ABC. For at indsamle statistik over brugen af ABC’s sits anvender vi en række systemer, der alle lægger cookies: - Google Analytics - Google Tag Manager - Crazy Egg - Hotjar Disse udbydere lægger alle cookies på ABC’s site for at indsamle anonyme data om brugernes adfærd. De kan også indsamle personlige data. De deler data med tredjepart. Du kan slette cookies fra Google her: https://tools.google.com/dlpage/gaoptout. Disse cookies gemmes fra nul dage op til 2 år.
  55. 55. Databehandleraftalen
  56. 56. Hvad gør Peytz & Co + Arbejdsgruppe etableret i maj 2016 + ISO-27001 compliance + Procesdokumentation og formalisering af organisatoriske roller + Udvikler services og systemer, så de understøtter krav fra GDPR + Indgår databehandleraftaler med vores kunder (IT- Branchens modelkontrakt) + Indgår underdatabehandleraftaler med vores leverandører - primært hosting partnere
  57. 57. Databehandleraftalen hos Peytz & Co + Peytz & Co anvender IT-Branchens modelkontrakt for Databehandleraftaler + Det er en fordel for begge parter, at det er en branchestandard + Databehandleraftalen indgås altid i forlængelse af en driftsaftale med Peytz & Co - ift. hosting og/eller abonnement på Peytz Mail + Peytz & Co har indgået Dataunderbehandleraftaler med eksterne leverandører
  58. 58. Instruksen – vigtig for os og for jer + Beskrivelse af baggrunden for behovet for en databehandleraftale med henvisning til de relevante aftaler + Typer af personoplysninger, der behandles ved levering af Hovedydelsen + Kategorier af fysiske personer omfattet af Databehandleraftalen (fx. kunder, der har givet tilladelse til at den dataansvarlige må sende information på e-mail)
  59. 59. Tak for i dag (navneskilte, tak)

×