Forordningen
Transcription
Forordningen
Persondataforordningen & kommuner Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall Forordningen ● I dag − Persondataloven (fra 2000) • Baseret på persondatadirektivet (fra 1995) − Forskelle i implementering fra land til land ● Fremtiden − Samme forordning i hele EU − Samme regler − Nok lidt forskellig fortolkning Side 2 1 Forordningen ● Stadig kun et forslag − Første officielle udgave fra januar 2012 − Siden da - flere forskellige (del-) udgaver. − Afventer Kommissionens sammenfattede endelige forslag • Forventes i løbet af sommeren 2015 − Der VIL komme flere ændringer til forslaget Side 3 Forordningen ● Hvornår kan vi forvente forordningen? − Jean-Claude Juncker: Inden for 6 måneder (!) • Da han tiltrådte i nov. 2014 − Men realistisk nok ultimo 2015 • Der forventes 2 års ’sunrise’-periode efter vedtagelsen • Efter udløb af sunrise-periode, så fuld gyldighed Side 4 2 Forordningen ● Overordnede principperne beholdes − − − − − Lovlig og loyal behandling Formålet skal være specifikt Data skal være præcise og ajour Data må kun opbevares, så længe de er nødvendige Dataansvarlige er ansvarlig for behandlingen ● Større fokus på: − Gennemsigtighed − Dokumentation − Datasubjektets egen kontrol Side 5 Mulighed for særlige regler ● Grundlæggende skal forordningen overholdes ● Men: − ”Member states should be allowed to maintain or introduce national provisions to further specify the application of this Regulation.” (30. april 2015) Side 6 3 Data Protection Officers ● Der skal udpeges en DPO, hvis: − offentlig myndighed ● Ansat eller tredjepart − Kan ’deles’ ● Uafhængig − Må ikke have ’interessekonflikter’ i stillingen (kan blive svært!) − Udpeges: • • For 4 år hvis ansat For 2 år hvis ekstern − Muligvis særlig beskyttet • Kun afskediges hvis væsentlig misligholdelse − Rapporterer direkte til ledelse − Skal have ’særlig kvalificeret’ viden om persondataret. Side 7 Data Protection Officers ● DPO’ens job − Deltage i alle spørgsmål vedrørende databehandling − Kontaktperson for myndigheder og datasubjekter − Tilsyn med overholdelse af forordning (compliance) − Implementere • Politikker, procedurer • Sikkerhedskrav • Sikre dokumentation Side 8 4 Krav om politikker ● Dataansvarlige skal have skriftlige politikker for alle behandlinger af persondata − Hvorfor og hvordan persondata håndteres − Hvem der er ansvarlig, og hvordan de kan kontaktes − Datasubjektets rettigheder ● Gennemsigtighed − Skal være let tilgængelige − Tydeligt og letforståeligt sprog Side 9 Procedurekrav ● Dataansvarlig skal have nedskrevne, interne procedurer for håndteringen af: − − − − − − Orienteringspligt til datasubjekterne Indsigtsret Ret til berigtigelse Indsigelsesret Ret til sletning/retten til at blive glemt Dataportabilitet ● Tidsfrist - én måned ● Afvisning − Begrundes − Klagemulighed og mulighed for retssag skal beskrives Side 10 5 Dokumentationskrav ● Dataansvarlige skal have regler og foranstaltninger, der viser og sikrer compliance Særligt ift: − − − − Dokumentationskrav Sikkerhedskrav Risikovurderinger / Konsekvensanalyser (DPIA) DPO Uafhængig revisionskontrol Side 11 Dokumentationskrav ● Dataansvarlig og databehandler skal have skriftlig dokumentation for enhver behandling, de foretager. − Oplysning om: • Kontaktoplysninger for dataansvarlig, databehandler og DPO(’er) • Formålsbeskrivelse samt hjemmel • Kategorier af datasubjekter og datatyper • Kategorier af datamodtagere • Overførsler til tredjelande • Tidsgrænser for sletning • Kontrolforanstaltninger ift. compliance (fx revisionsstandarder) Side 12 6 Sikkerhed ● Passende tekniske og organisatoriske sikkerhedsforanstaltninger − Aktuelle tekniske niveau − Omkostninger ved foranstaltninger ● Uddybende krav kan forventes − Svarende til bekendtgørelser som Sikkerhedsbekendtgørelsen ● Krav om risikovurdering ved hver behandling − Skal dokumenteres Side 13 Data Protection Impact Assessment ● DPIA − Skal laves, når der er særlige risici i medfør af behandlingens: • Karakter • Omfang • Formål • Fx: – Behandling af mere end 5000 datasubjekter over en 12 måneders fortløbende periode – Hovedaktivitet består i databehandling – Hovedaktiviteten består i behandling af følsomme personoplysninger, lokationsdata eller data vedrørende børn eller ansatte i store filhåndteringssystemer − Undtagelse for offentlige myndigheder, hvis: • Lovpligtig behandling, som følger af EU-retten • Regler og procedurer for behandling følger af loven Side 14 7 Data Protection Impact Assessment ● DPIA skal omfatte: − Generel beskrivelse af behandlingen − Risici ift. datasubjekterne − Hvordan disse risici kan begrænses bl.a. ift. teknisk og organisatorisk sikkerhed − Beskrive compliance med forordningen − (evt. høring af datasubjekter eller repræsentanter) ● Myndigheder høres − Hvis DPIA viser store risici ved behandlingen. Side 15 Privacy by design/default ● Alle systemer skal designes med persondatasikkerhed og overholdelse af forordningen i mente − By default: • • • Kun relevante data indsamles og behandles Data kan ikke gemmes længere end nødvendigt Kun relevante personer har adgang til data − Eksisterende systemer, skal tilpasses − Hensyntagen til: • • • Omkostninger Aktuelle tekniske niveau Best practice − Det forventes, at der kommer tekniske standarder Side 16 8 Sanktioner ● Erstatning − Alle, der lider tab som følge af overtrædelse, kan kræve erstatning − Omvendt bevisbyrde! • Dataansvarlig eller databehandler kan helt eller delvis fritages for erstatningsansvar, hvis: – Beviser, at de ikke er ansvarlige for hændelsen, der medførte skaden. − Datasubjektet skal stadig bevise tabet • Kan være svært • Torterstatning? Side 17 Sanktioner ● Administrative sanktioner − Niveauet, vi kender i dag, bliver væsentligt forøget • Sanktioner skal være ’afskrækkende’ • Ensartede i hele EU − Advarsel • Førstegansforseelse og ’non-intentional’ − Bøde • Op til EUR 100.000.000 eller 5% af årlig global omsætning – Afhængigt af hvad der er højest. • Tage højde for: ’grovheden’, skades størrelse, gentagelse m.v. Side 18 9 Kontaktoplysninger Bird & Bird advokatfirma www.twobirds.com Nis Peter Dall, advokat, partner ! Telefon: 72 24 12 12 ! Direkte: 39 14 16 50 ! Mobil: 20 75 27 47 ! E-mail: [email protected] Side 19 Thank you Advokat Nis Peter Dall [email protected] BIRD & BIRD ADVOKATPARTNERSELSKAB Bird & Bird Advokatpartnerselskab er et registreret selskab i Danmark under CVR-nr. 35 14 45 01. Alle vores advokater er medlem af Advokatsamfundet og underlagt de advokatetiske regler fra Advokatrådet. Reglerne er tilgængelige her: www.advokatsamfundet.dk. BIRD & BIRD Bird & Bird LLP, er et registreret partnerskab, registreret i England og Wales under registreringsnummer OC340318, der er autoriseret og underlagt Solicitors Regulation Authority, og dets regler og retningslinier der er tilgængelige her: sra.org.uk/handbook/ For yderligere information om Bird & Bird internationalt, herunder Bird & Bird LLP, dets filialer og associerede selskaber (samlet benævnt ”Bird & Bird”), vores kontorer, ansatte, partnere og rådgivningsområder, brug af e-mails og regulatoriske forhold, se vores website på twobirds.com og navnlig ”Legal Notices”. 10