This presentation is made by the international law firm Bird & Bird and is focusing on the significant changes and important requirements in the General Data Protection Regulation and the importance of these.
The purpose is to have greater control over the company's data and to ensure a far better protection of personal data in the digital world. The presentation is aimed at anyone who needs to properly equipped to handle the processing of personal data in your company in relation to your digital solutions.
2. Page 2
Program
1. Indledende bemærkninger
2. Vigtige begreber
3. Overblik over krav og forpligtelser i Persondataforordningen
4. Hvad betyder Persondataforordningen for jer?
5. Konkrete cases
6. Spørgsmål
3. Page 3
Indledende bemærkninger
Vi har haft persondataloven siden 2000
• Baseret på persondatadirektivet (1995)
• 15-20 år med voldsom udvikling
• Forskelle i implementering af direktiv i 28 lande
General Data Protection Regulation (GDPR)
• Samme regler i hele EU
• Udvidelse af persondataloven på nogle områder
• Finder anvendelse fra den 25. maj 2018
Why all the fuzz?
• Bøder: op til EUR 20 mio. eller 4% af årlig global omsætning
• For at tilskynde overholdelse indføres et markant sanktionsniveau
• Effektiv, proportional med overtrædelsen og have afskrækkende virkning
• Ikke kun dataansvarlige, men også databehandlere kan ifalde bødestraf
• GDPR compliance er blevet et salgs -og konkurrenceparameter
• Troværdighed og image
4. Page 4
Program
1. Indledende bemærkninger
2. Vigtige begreber
3. Overblik over krav og forpligtelser i Persondataforordningen
4. Hvad betyder Persondataforordningen for jer?
5. Konkrete cases
6. Spørgsmål
5. Page 5
Vigtige begreber
Behandling af personoplysninger
GDPR Art 2:
”Denne forordning finder anvendelse på
behandling af personoplysninger…”
6. Page 6
Vigtige begreber
Personoplysning
”enhver form for information om en identificeret eller identificerbar fysisk person"
• Kun fysiske personer – ikke oplysninger om virksomheder eller myndigheder
• Identificeret eller identificerbar = Personhenførbar – alle midler tages i betragtning – hvis
personen kan identificeres af ‘nogen’.
• Uanset kilde :
• Oplyst af personen selv
• indhentet fra andre kilder
• Jeres egne eller andres observationer – også subjektive.
• Uanset format: Nedskrevet, billede, video, lydoptagelse, fingeraftryk, biologisk materiale
• Pseudonymisering – Kryptering - Anonymisering
7. Page 7
Vigtige begreber
Eksempler på personoplysninger
• Peter Hansen, CPR nr. 200687-1233 er ansat i virksomhed A
• Kattens stamnavn er Nero den tredje.
• IP 145.97.39.155
• Bilen med registreringsnummer AF 22 454 holder ulovligt parkeret
• Jordforurening på sommerhusgrund
• Et portrætfoto uden tilhørende tekst eller forklaring
• Registrering af medarbejderes færden via GPS i bilen
• Kontaktoplysninger på ansatte hos en virksomheds leverandører, f.eks. e-mailadresse
8. Vigtige begreber
Page 8
Behandling
”enhver aktivitet eller række af aktiviteter — med eller uden brug af automatisk
behandling — som personoplysninger eller en samling af personoplysninger gøres
til genstand for, f.eks. indsamling, registrering, organisering, systematisering,
opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved
transmission, formidling eller enhver anden form for overladelse, sammenstilling eller
samkøring, begrænsning, sletning eller tilintetgørelse”
Noget der ikke er en behandling?
9. Page9
Vigtige begreber
Databehandler eller dataansvarlig?
Dataansvarlig
Den ”der alene eller sammen med andre afgør, til hvilke formål og med hvilke
hjælpemidler, der må foretages behandling af personoplysninger”
Databehandler
Den ”der behandler personoplysninger på den dataansvarliges vegne”
Hvorfor er sondringen relevant?
Databehandleraftale
11. Page 11
Program
1. Indledende bemærkninger
2. Vigtige begreber
3. Overblik over krav og forpligtelser i Persondataforordningen
4. Hvad betyder Persondataforordningen for jer?
5. Konkrete cases
6. Spørgsmål
12. Page 12
Overblik over krav og forpligtelser i Persondataforordningen
Accountability
Behandlings
hjemmel
Personers
rettigheder
Generelle
forpligtelser
(krav til
processer)
Behandlings
-sikkerhed
13. Page 13
Overblik over krav og forpligtelser
Behandlingshjemmel på formel
Grundlæggende
Principper
Alm. oplysninger
Særlige kategorier
(følsomme
oplysninger)
Oplysninger om
strafbare forhold
Cpr.nr.
Information
Behandling
er hjemlet
3. landsoverførsel
14. Page 14
Overblik over krav og forpligtelser
Grundprincipper der altid skal være opfyldt
Lovlighed rimelighed
og gennemsigtighed
• Skal behandles lovligt, rimeligt og på en gennemsigtig måde
Formålsbegrænsning
• Skal indsamles til udtrykkeligt angivne og legitime formål, og
• Senere behandling må ikke være uforenelig med indsamlingsformål
Dataminimering
• Skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de
formål, hvortil de behandles
Rigtighed
• Skal være korrekte og om nødvendigt ajourførte;
• Skal tage ethvert rimeligt skridt til sletning eller berigtigelse
Opbevarings-
begrænsning
• Opbevares så det ikke er muligt at identificere de registrerede i et længere tidsrum end det,
der er nødvendigt til formålet
Integritet og
fortrolighed
• Sikre tilstrækkelig sikkerhed, herunder beskyttelse mod uautoriseret eller ulovlig behandling
og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende
tekniske eller organisatoriske foranstaltninger
Ansvarlighed
• Skal kunne påvise overholdelse
15. Page 15
Overblik over krav og forpligtelser
Retsgrundlag for behandling
GDPR artikel 6 GDPR artikel 9 GDPR artikel 10 National regulering, jf.
artikel 87
Almindelige
personoplysninger
Særlige kategorier af
personoplysninger
Straffedomme og
lovovertrædelser
CPR-numre
• Stamoplysninger; navn,
adresse, fødselsdato, køn
mv.
• Ansættelsesdata;
ansøgning, CV, stilling,
arbejdsområde, sygedage,
tjenstlige forhold mv.
• dækninger, depotstørrelser,
personlige tilvalg, formue,
begunstigede
familieforhold,
• IP-adresse, TV overvågning
• Ikke udtømmende
• Race eller etnisk oprindelse
• Politisk, religiøs eller
filosofisk overbevisning
• Fagforeningsmæssigt
tilhørsforhold
• Genetiske og biometriske
data (identifikationsformål)
• Helbredsoplysninger
• Oplysninger om en fysisk
persons seksuelle forhold
eller seksuelle orientering
e.g. straffeattest 123456-7890
Behandlingsgrundlag Behandlingsgrundlag Behandlingsgrundlag Behandlingsgrundlag
• Samtykke
• Opfyldelse af kontrakt,
som den registrerede er
part i
• Overholde retlig forpligtelse
• Beskyttelse af en persons
vitale interesser
• Interesseafvejningsregl
en
• m.fl.
• Forbudt, dog;
• Udtrykkeligt samtykke
• Arbejds-, sundheds- og
socialretlige forpligtelser
• Fastlægge eller forsvare
retskrav
• Hvis oplysninger tydeligvis
er offentliggjort af den
registrerede
• m.fl.
• National regulering:
• Udtrykkeligt samtykke
• Kvalificeret
interesseafvejning
• National regulering
• Samtykke
• Følger af lov
• Videregivelse naturligt led
i normal drift og afgørende
for entydig identifikation
eller kræves af en offentlig
myndighed
16. Page 16
Overblik over krav og forpligtelser
Udvidet oplysningsforpligtelse
Som i dag:
• Dataansvarliges identitet
• Formålet med behandlingen
• Kategorier af modtagere
• Om det er obligatorisk at give oplysninger
• Konsekvenser ved ikke at give oplysninger
• Retten til indsigt og berigtigelse
• Hvis indsamlet fra andre kilder:
hvilken type oplysninger
Nye oplysningsforpligtelser:
• Kontaktinfo for DPO
• Hvilket behandlingsgrundlag
• De legitime interesser der forfølges – hvis
hjemme er interesseafvejning
• Ved 3. landsoverførsel – henvisning til hjemme
• Det tidsrum, hvor data vil blive opbevaret
• Retten til at tilbagekalde samtykke
• Retten til sletning, indsigelse og dataportabilitet
• Retten til at klage til tilsynsmyndighed
• Automatiske afgørelser – herunder logikken
• Hvis indsamlet fra andre kilder: oplysninger om kilder
Det er den dataansvarliges ansvar
uopfordret at sikre sig, at
oplysningerne bliver givet!
17. Page 17
Overblik over krav og forpligtelser
Behandlingshjemmel på formel
Grundlæggende
Principper
Alm. oplysninger
Særlige kategorier
(følsomme
oplysninger)
Oplysninger om
strafbare forhold
Cpr.nr.
Information
Behandling
er hjemlet
3. landsoverførsel
18. Overblik over krav og forpligtelser
Personers rettigheder
Oplysningspligt og
Indsigtsret
Berigtigelse
Sletning
(Ret til at blive
glemt)
Begrænsning
Dataportabilitet
Indsigelse
• Ret til uopfordret at modtage oplysninger ved indsamlingen og efterfølgende på opfordring at få
indsigt i oplysninger (ret til kopi) (Art 13 -15 )
• Ikke krænke andres rettigheder
• Ret til at få urigtige personoplysninger om sig selv berigtiget eller fuldstændiggjort (Art. 16)
• Underrette modtagere oplysninger er videregivet til – dog hvis umuligt eller uforholdsmæssigt (Art
19)
• Ret til at få personoplysninger om sig selv slettet – NB Ikke nogen ubetinget ret (Art 17)
• Underrette modtagere oplysninger er videregivet til – dog hvis umuligt eller uforholdsmæssigt (Art
19)
• Ret til at opnå begrænsning af behandling (midlertidigt i forb. med indsigelse eller alternativ til
sletning) (Art 18)
• Underrette modtagere oplysninger er videregivet til – dog hvis umuligt eller uforholdsmæssigt (Art
19)
• Ret til i et struktureret, almindeligt anvendt og maskinlæsbart format at modtage personoplysninger
om sig selv, som vedkommende har givet til en dataansvarlig, og
• ret til at transmittere disse oplysninger til en anden dataansvarlig (Art 20)
• Ret til af grunde, der vedrører den pågældendes særlige situation at gøre indsigelse mod behandling
af sine personoplysninger (Art 21) – kvalificeret interesseafvejning
• Ubetinget ret til indsigelse mod direkte markedsføring og automatiserede afgørelser (profilering)
Hvordan skal der
reageres?
• Skriftligt, kortfattet og letforståeligt samt gratis (modifikation: gentagne og overdrevne henvendelser)
• Senest inden 1 måned (kan i særlige tilfælde forlænges med 2 måneder) (Art 12)
• Undtagelser og begrænsninger? (Art 23) – EU og National ret.
Page 18
19. Overblik over krav og forpligtelser
Generelle forpligtelser
Ansvarlighed
Databeskyttelses-
politik
Databeskyttelse
gennem design
Databeskyttelse
gennem
standardindstillinger
Tage ansvar for
databehandlere
Fortegnelse over
behandlingsaktiviteter
• Gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand
til at påvise, at behandling er i overensstemmelse med forordningen. Disse foranstaltninger skal løbende
revideres og ajourføres
• Hvis det står i rimeligt forhold til behandlingsaktiviteterne - implementering af passende
databeskyttelsespolitikker
• Passende tekniske og organisatoriske foranstaltninger skal understøtte overholdelse af forordningen
• E.g. gennem pseudonymisering og dataminimering, herunder intern acces management
• Standardindstillinger skal sikre, at kun personoplysninger, der er nødvendige til hvert specifikt formål
behandles
• Mængde af data - omfang af behandling – opbevaringsperiode - tilgængelighed
• Udelukkende anvende databehandlere, der garanterer for, at behandling opfylder forordningen.
• Risikovurdering af databehandleren og løsningen. Føre kontrol og påse, at databehandler opfylder krav
• Krav om skriftligt aftalegrundlag
• Formål samt kategorier af personer, oplysninger og modtagere, slettepolitik og beskrivelse af sikkerhed
• Undtagelse, hvis færre end 250 medarbejdere
• Medmindre høj-risiko-behandling, regelmæssig behandling eller behandling omfatter særlige kategorier
Samarbejde med
tilsynsmyndigheden
• Den dataansvarlige og databehandleren skal efter anmodning samarbejde med tilsynsmyndigheden i
forbindelse med udførelsen af dens opgaver
• Men pligt til anmeldelse og tilladelse bortfalder
Page 19
20. Overblik over krav og forpligtelser
Behandlingssikkerhed
Tekniske og
organisatoriske
sikkerheds-
foranstaltninger
Anmeldelse af
sikkerhedsbrister
til
tilsynsmyndigheden
og evt. de berørte
personer
Konsekvensanalyser
(DPIA)
Databeskyttelses-
rådgiver (DPO)
• Hense til behandlingens risiko, det aktuelle tekniske niveau og omkostninger
• Ingen specifikke krav, om end GDPR nævner:
• Pseudonymisering og kryptering
• Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af
behandlingssystemer
• Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger
• Procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af sikkerheden
• senest 72 timer efter, at man er blevet bekendt med bruddet
• Databehandlere skal underrette den dataansvarlige
• beskrive karakteren af bruddet, herunder kategorierne og det omtrentlige antal berørte personer samt
personoplysninger, konsekvenserne og trufne foranstaltninger for at stoppe og begrænse skaden
• Skal kunne dokumentere bruddet og de trufne foranstaltninger
• Hvis høj risiko for berørte personer - tillige underretning af de berørte
• Hvis en ny type behandling( e.g ny teknologi , eller karakter og omfang) sandsynligvis vil indebære en høj
risiko, skal der foretages en konsekvensanalyse
• særlige kategorier i stort omfang – systematisk overvågning – profilering som grundlag for afgørelser.
• Analyse: en beskrivelse af a) den planlagte behandling b) en vurdering af, om behandlingen er
nødvendige og står i rimeligt forhold til formålene c) en vurdering af risiciene og d) de foranstaltninger,
der påtænkes for at imødegå disse risici.
• Hvis fortsat høj risiko – pligt til høring af tilsynsmyndighed
• Skal rådgive om og overvåge virksomhedens overholdelse af forordning, lovgivningen og virksomhedens
egne politikker
• Kerneaktiviteter kræver regelmæssig og systematisk overvågning af registrerede i stort omfang, eller
• Kerneaktiviteter består af behandling i stort omfang af særlige kategorier af oplysninger.
• Både dataansvarlige og databehandlere
• ‘uafhængig’ og ‘beskyttet’
Page 20
21. Page 21
Overblik over krav og forpligtelser i Persondataforordningen
Accountability
Behandlings
hjemmel
Personers
rettigheder
Generelle
forpligtelser
(krav til
processer)
Behandlings
-sikkerhed
22. Page 22
Program
1. Indledende bemærkninger
2. Vigtige begreber
3. Overblik over krav og forpligtelser i Persondataforordningen
4. Hvad betyder Persondataforordningen for jer?
5. Konkrete cases
6. Spørgsmål
23. Hvad betyder persondataforordningen for jer?
Hvordan påvirkes I af forordningen?
Nye eller ændrede
processer,
procedurer og
funktioner
Ændringer i eller
nye roller og
ansvar i
organisationen
Ændringer i
eller nye
teknologier,
værktøjer, IT
applikationer,
IT infrastruktur
Ny eller ændringer
til information,
data, dokumenter,
aftaler m.m.
Page 23
24. Hvad betyder persondataforordningen for jer?
Hvad skal I kunne?
• redegøre for hvilke oplysninger man indsamler til hvilke formål
• vide hvordan personoplysninger flyder gennem virksomheden
• vide hvilken kasket man har på i de forskellige situationer
• anvise hjemmel til den pågældende indsamling og behandling
• påvise at man kender sine forpligtelser og er i stand til at overholde dem, inkl. de grundlæggende principper – eks. sletning
• være i stand til at opfylde personers rettigheder
• have indrettet sin tekniske og organisatoriske sikkerhed ud fra en risikovurdering
• have styr på sine databehandlere
• i øvrigt kunne påvise, at man kender og overholder GDPR
• …. Og hvordan kommer man der til?
Page 24Page 24
25. Hvad betyder persondataforordningen for jer?
Projektorga
nisation
-
Afgrænsning
og
forventnings
-afstemning
Kortlægning
af det
relevante
data flow
Undersøgel-
seaf det
aktuelle
compliance-
niveau
Analyse og
rapportering
-
Handleplan
Implemente-
ring
Vedligehold-
else og
opfølgning
Eksempel på Compliance Projekt
Fase 1 Fase 2 Fase 3 Fase 4 Fase 5 Fase 6
Page 25
26. Hvad betyder persondataforordningen for jer?
Fase 2 - Kortlægning af det relevante data flow
• Projekt organisation – nedsættelse af multidisciplinær projekt- og styregruppe
• 3D tilgang; personer - systemer – processer
• Organisationsspecifikt spørgeskema som hovedingrediens
• Kortlægningen skal besvare alle hv-spørgsmålene, f.eks.:
• hvilke personoplysninger behandles?
• hvilke personer behandles der oplysninger om?
• hvilke formål?
• hvor personoplysninger stammer fra?
• hvordan indsamles oplysninger?
• hvor og hvordan oplysninger opbevares ?– internt som eksternt
• hvem har adgang til oplysninger ?– og hvorfor?
• hvem videregives data til? – og hvorfor?
• hvordan sikrer vi personoplysninger ? – teknisk og organisatorisk
• hvad har vi af dokumentation? Oplysninger, samtykker, procedurer, politikker osv.
• hvordan opfylder vi personers rettigheder?
• hvad har vi af procedurer?
• hvornår bruger vi databehandlere?
• Besvarelserne skal danne grundlag for en GAP-analyse – identifikation af
• Mangler/huller i forhold til overholdelse af krav i forordningen
• Prioriteret handlingsplan
• Udfyldelse af mangler/huller
Page 26
27. Page 27
Program
1. Indledende bemærkninger
2. Vigtige begreber
3. Overblik over krav og forpligtelser i Persondataforordningen
4. Hvad betyder Persondataforordningen for jer?
5. Konkrete cases
6. Spørgsmål
28. Page 28
Cases - Eksempler
• Håndværkervirksomhed
• Få ansatte
• B2B
• Simpelt bogføringssystem
• Overholder
persondataloven i dag
Virksomhed A Virksomhed B
• Større
produktionsvirksomhed
• Over 100 ansatte
• B2B
• Flere integrerede IT
systemer, f.eks. CRM
• Ekstern hosting
• Overholder ikke
persondataloven i dag
• Udlejningsvirksomhed med
mange boliglejemål
• Behandler følsomme
oplysninger og CPR-numrer
• Flere integrerede IT-
systemer
• Ekstern hosting og
lønadministration
• Anvender eksternt bureau
til håndtering af
markedsføring pr. mail.
• Overholder ikke
persondataloven i dag
Virksomhed C
MINDRE BEHOV FOR COMPLIANCE OMFATTENDE
29. Case 1 – Lokal dansk virksomhed
Datamapning:
• Systemanalyse
• interviews
• Udarbejdet af BB og intern projektleder
alene
GAP analyse
• Virksomhed overholdte i høj grad
persondataloven i dag, så alene GDPR
tilpasninger
Mitigerende handlinger:
• Opdatering af databehandleraftaler, it
sikkerhedspolitik, etc.,
Implementering og vedligeholdelse
• strategi for fremtidig overholdelse og it
indkøb
Ressourcer
• 1 uge til datamapping
• Ressourcer: 1 fra hver ledelsesdel (HR,
Markedsføring, it) 5-6 personer
(projektleder og systemadministrator) +
2 advokater
• 1 uge GAP analyse: systemanalyse +
styrende GAP analyse
• 2 måneder til implementering
Page 29
30. Case 2 – Landsdækkende forening
Projektorganisation:
• Afholdelse af møder
• Forventningsafstemning
Datamapping:
• Workshops
• Procesanalyse
• Pilotprojekter
GAP analyse
• Forening overholdte i nogen grad
persondataloven i dag
• Tilpasninger ifht. persondataloven
• Implementering af GDPR
Mitigerende handlinger:
• Opdatering af databehandleraftaler,
informationsskrivelser, sletterutiner,
fortegnelser over behandlingsaktiviteter,
etablering af hjemmelsgrundlag, etc.
Implementering og vedligeholdelse
• strategi for fremtidig overholdelse
Ressourcer
• 4 uger til datamapping
• Ressourcer: styregruppe, projektgruppe,
tovholdergruppe, projektleder + 2
advokater
• 6 uger til GAP analyse + handlingsplan
• 2-3 måneder til implementering
Page 30
34. BIRD & BIRD ADVOKATPARTNERSELSKAB
Bird & Bird Advokatpartnerselskab er et registreret selskab i Danmark under CVR-nr. 35 14 45 01. Alle vores advokater er medlem af Advokatsamfundet og underlagt de advokatetiske
regler fra Advokatrådet. Reglerne er tilgængelige her: www.advokatsamfundet.dk.
BIRD & BIRD
Bird & Bird LLP, er et registreret partnerskab, registreret i England og Wales under registreringsnummer OC340318, der er autoriseret og underlagt Solicitors Regulation Authority, og
dets regler og retningslinier der er tilgængelige her: sra.org.uk/handbook/
For yderligere information om Bird & Bird internationalt, herunder Bird & Bird LLP, dets filialer og associerede selskaber (samlet benævnt ”Bird & Bird”), vores kontorer, ansatte,
partnere og rådgivningsområder, brug af e-mails og regulatoriske forhold, se vores website på twobirds.com og navnlig ”Legal Notices”.
Thank you