EU’s Persondataforordning - Håndtering af kundedatadi.dk/SiteCollectionDocuments/DI Digital/Bruun...
Transcript of EU’s Persondataforordning - Håndtering af kundedatadi.dk/SiteCollectionDocuments/DI Digital/Bruun...
EU’s Persondataforordning - Håndtering af kundedata
DI’s konference, torsdag den 15. juni 2017
Pia Kirstine Voldmester, advokat (H) og partner
Mød Esben!
(Hipster)mand
31 år
Kandidatgrad i humanistisk informatik
Bor i andelslejlighed på Vesterbro
Onlinesøgninger med interesse for
oplevelsesrejser, adventuresport,
festivaler, rombarer, mikrobryggerier
og mærketøj
Ingen onlinesøgninger relateret til
småbørn eller smykker til kvinder
Hans IPhone7 opholder sig ofte
omkring Sønder Boulevard eller i
Kødbyen torsdag, fredag og lørdag
aften (så det gør Esben nok også)
Baseret på vores viden om Esben, hans
præferencer og andre mænd som ham…
…er Esben i målgruppen for…
Rejser til rom-kolonierne i Caribien
Mountainbike-tur til Åre i Sverige
Streaming-serier om amerikansk politik
Upcoming skandinaviske designere og
sneaks
…er Esben uinteresseret i…
Badeferier til all-inclusive familiehotel
Romantiske blockbustere
…er Esben i risikogruppen for…
Sportsskader
Leverskader (?)
Introduktion til forordningen og grundlæggende begreber
Grundlæggende principper og behandlingsregler
Databehandlere, sikkerhed og dokumentation
4
Den registreredes rettigheder – herunder profilering
Status på Databeskyttelsesforordningenpr. 15. juni 2017
5
24. maj 2016
Ikrafttræden
24. maj 2017
Justitsministeriets publikation fremlægges
13. juni 2017
Justitsministeriets stormøde
Oktober 2017
Danske lovforslag fremsættes
25. maj 2018
Forordningen finder anvendelse
September 2017 – januar 2018
Justitsministeriets vejledninger udkommer
løbende
Beskedent fokus på persondatalovgivning
Næsten ingen håndhævelse, ligegyldigt bødeniveau
Fokus på informationssikkerhed
Indtil nu
”Samme” regler i hele EU/EØS (men mange nationale særregler)
Mange nye proces- og dokumentationskrav
Op til € 10 - 20 mio. eller 2-4 % af den årlige globale omsætning
Game changer
Under et år tilbage
Persondataforordningen
Anvendelsesområde
6
Registrerede personer
Hvem skal overholde forordningen?
Fysiske personer (uanset nationalitet og bopæl)
f. eks. medarbejdere, direktører, bestyrelsesmedlemmer, kunder, medlemmer, brugere og samhandelspartnere
Forordningen beskytter ikke juridiske personer
Bortset fra enkeltmandsvirksomheder og virksomheder etableret i interessentskaber
Private personer skal ikke overholde reglerne, når der er tale om rent personlige og familiemæssige aktiviteter
Private virksomheder (uanset selskabsform)
Offentlige myndigheder
Organisationer
Personoplysning og behandling
Basale definitioner
7
Hvad er personoplysninger?
Enhver form for information om en identificeret eller identificerbar fysisk person (”den registrerede”)
Ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet
Hvad er en behandling?
Enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for
F.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse
Elektronisk behandling af personoplysninger
Manuel behandling af personoplysninger i et register
Personoplysninger
Basale definitioner
8
Almindelige personoplysninger
Særlige kategorier af personoplysninger
Straffeattester mv.
CPR-nr.
Navn, adresse, indkomst og formueforhold, civilstand, mv.
Alle andre oplysninger end de særlige kategorier (f.eks. er almindelige oplysninger også personlighedstest, skilsmisser, bortvisninger, gæld og restancer mv.)
Racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold (ikke A-kasse), helbredsmæssige og seksuelle forhold
Genetiske og biometriske data, ved behandling mhp. identifikation
Persondatalovens § 11 videreføres formentlig
Behandling hvis fastsat i lov eller udtrykkeligt samtykke
Ingen offentliggørelse uden udtrykkeligt samtykke
Behandling for private virksomheder kræver lovhjemmel
Samtykkets skæbne uvis
Introduktion til forordningen og grundlæggende begreber
Grundlæggende principper og behandlingsregler
Databehandlere, sikkerhed og dokumentation
9
Den registreredes rettigheder – herunder profilering
Grundlæggende principper for al behandling
Basale definitioner
10
Formålsbegrænsning
Indsamling af oplysninger skal ske til udtrykkeligt angivne og legitime formål, og senere behandling må ikke være uforenelig med disse formål.
Statistiske formål (mv.) som udgangspunkt forenelige (artikel 89)
Datakvalitet
Oplysningerne skal være rigtige og om nødvendigt ajourførte
Der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige, omgående slettes eller berigtiges
Dataminimering
Oplysningerne skal være relevante, tilstrækkelige og begrænset til hvad der er nødvendigt i forhold til formålene
”Kan vi nå formålet med færre oplysninger?”
Sletning
Oplysningerne skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end formålet tilsiger
Muligheder for opbevaring med henblik på statistiske formål mv. (art. 89)
Integritet og fortrolighed
Tilstrækkelig sikkerhed for personoplysninger, herunder mod ubemyndiget eller ulovlig behandling og mod hændeligt tab, ødelæggelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger
Lovlighed, rimelighed og gennemsigtighed
Lovlig, rimelig og gennemsigtig over for den registrerede
AnsvarlighedDen dataansvarlige skal kunne
dokumentere, at principperne overholdes
Artikel 6
Behandling af almindelige personoplysninger
11
Behandlingsgrundlag
a) Den registreredes samtykke til et eller flere konkrete formål
b) Nødvendig for udførelsen af en kontrakt hvori den registrerede er part (eller skridt forud for indgåelse af kontrakt)
c) Nødvendig for at opfylde en retlig forpligtelse der gælder for den dataansvarlige
d) Nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser
e) Nødvendig ift. udførelsen af en opgave i samfundets interesse
f) Nødvendig for at den dataansvarlige eller en tredjemand kan forfølge en berettiget interesse medmindre hensynet til den registreredes fundamentale rettigheder og friheder overstiger denne interesse, især når den registrerede er et barn
Juridisk grundlag for behandling af
almindelige personoplysninger
Artikel 9
Behandling af særlige kategorier af personoplysninger
12
Behandlingsgrundlag
a) Den registreredes udtrykkelige samtykke til specifikke formål
b) Den dataansvarliges forpligtelser iht. lov eller overenskomst på arbejds- og socialområdet
c) Den registreredes eller en anden persons vitale interesser hvor ej i stand til at give samtykke
d) Politiske, filosofiske, religiøse eller faglige foreninger når legitime aktiviteter mv.
e) Personoplysninger er tydeligvis offentliggjort af den registrerede
f) Nødvendig ift. at retskrav fastslås, gøres gældende eller forsvares
g) Nødvendig ift. væsentlige samfundsinteresser med hjemmel i lov
h) Nødvendig ift. behandling inden for sundhedssektoren mv.
i) Nødvendig ift. samfundsinteresser på folkesundhedsområdet
j) Arkivering i samfundets interesse eller til bl.a. statistiske formål (jf. art. 89)
Juridisk grundlag for behandling af
særlige kategorier af personoplysninger
Husk særlovgivning som f.eks.
helbredsoplysningsloven,
forskelsbehandlingsloven,
foreningsfrihedsloven mv.
Racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, helbredsmæssige og seksuelle forhold
Genetiske og biometriske data, ved behandling mhp. identifikation
Artikel 6 og 9 – artikel 7
Samtykke som behandlingsgrundlag
13
Et samtykke skal være
1. Frivilligt
Et reelt frit valg
Kan trækkes tilbage (hvorefter data skal slettes!)
Separat samtykke til forskellige databehandlinger
Gennemførelse af en kontrakt eller levering af en service må ikke betinges af samtykke til behandling eller brug af oplysninger, som ikke er nødvendige for gennemførelsen af kontrakten
2. Specifikt
3. Informeret
4. Utvetydigt (udtrykkeligt for følsomme oplysninger)
Kravene til
samtykke skærpes
Samtykket skal være tydeligt adskilt fra øvrig tekst (f.eks. ikke indeholdt i almindelige betingelser for brug af netbank, kundeaftaler osv.)
Samtykker til forskellige formål må ikke ”puljes”
Systemer skal indrettes, så der sikres opsamling og opbevaring af dokumentation (dokumentationskrav)
Opdatering af nuværende samtykkeformularer- og metoder
Forældre/værge samtykke for børn ved brug af informations-samfundstjenesteydelser
Permissions
Eksempler
Samtykkets begrænsninger i markedsføringssammenhæng
14
Konkurrence
Markedsføring
Abonnement
Markedsføring
Abonnement
Produktudvikling
Produkt
Nødvendighed
.. deltage i konkurrencen, hvis du giver samtykke til, at vi kan behandle dine personoplysninger til brug for markedsføring.”
.. tegne et abonnementet, hvis du giver samtykke til, at vi kan behandle dine personoplysninger til brug for markedsføring.”
.. købe vores bio-hyggepakke med automatisk klargøring af alt det, du bedst kan li’, hvis du giver samtykke til, at vi kan behandle dine personoplysninger for at finde frem til dine slik- og sodavandsfavoritter
.. tegne et abonnement, hvis du giver samtykke til, at vi kan behandle dine personoplysninger for at videreudvikle vores produkter.”
”Du kan kun… …
!
!
For almindelige
oplysninger: Overvej
interesseafvejning
Introduktion til forordningen og grundlæggende begreber
Grundlæggende principper og behandlingsregler
Databehandlere, sikkerhed og dokumentation
15
Den registreredes rettigheder – herunder profilering
Persondataforordningen – artikel 12-22
Den registreredes rettigheder
16
Oplysningspligt (udvidet)
Ret til – uden forespørgsel – at blive oplyst om behandling af oplysninger om ham/hende
Indsigt (udvidet)
Ret til – på forespørgsel – at få indsigt i hvilke oplysninger den dataansvarlige behandler om ham/hende selv
Berigtigelse
Ret til at få urigtige oplysninger berigtiget
Sletning
Ret til at få slettet oplysninger om ham/hende selv (”retten til at blive glemt”)
Begrænsning (ny)
Ret til at kræve begrænsning af behandling (”blokering”) i en periode
Dataportabilitet (ny)
Ret til at få oplysninger afgivet af vedkommende selv med til en ny leverandør
Indsigelse
Ret til at gøre indsigelse mod behandling af hans/hendes personoplysninger
Automatisk individuel beslutningstagning
Ret til ikke at blive underlagt automatisk, individuel beslutningstagning
Klart og enkelt sprog,
tidsfrister mv.
Persondataforordningen – artikel 21
Indsigelse mod direkte markedsføring
17
Behandling af personoplysninger til direkte markedsføring kan ske på baggrund af interesseafvejningsreglen
Den registrerede har til enhver tid ret at gøre indsigelse mod behandling af sine personoplysninger, herunder profilering, baseret på interesseafvejningsreglen
Personoplysningerne kan fortsat behandles, hvis den dataansvarlige har vægtige legitime grunde til behandlingen, der overstiger den registreredes interesser
Den registrerede til enhver tid ret til at gøre indsigelse mod behandling af sine personoplysninger til direkte markedsføring, herunder at gøre indsigelse mod profilering, i det omfang den vedrører direkte markedsføring
Personoplysningerne kan ikke længere behandles til direkte markedsføring (inkl. profilering med henblik på direkte markedsføring)
-----------------------------------------------------------------------------------------------
Den registrerede skal udtrykkeligt gøres opmærksom på disse rettigheder senest på tidspunktet for den første kommunikation
Oplysninger skal meddeles klart, utvetydigt og adskilt fra alle andre oplysninger
Ubetinget ret til at gøre indsigelse mod direkte
markedsføring
18
Definition - artikel 4(4)
Profilering
Enhver form for automatisk behandling af personoplysninger, der består i at anvende personoplysninger til at evaluere bestemte personlige forhold vedrørende en fysisk person,
navnlig for at analysere eller forudsige forhold vedrørende den fysiske persons
Hvad er profilering?
Eksempler
Personlighedstest af jobansøgere
Automatisk lønafregning i forhold til tidsregistrering ved brug af stempelkort eller lign.
Udstedelse af advarsel til medarbejder på grund af for sent fremmøde, idet
tidsregistreringssystem gav meddelelse herom
arbejdsindsats
økonomiske situation
helbred
personlige præferencer
interesser
pålidelighed
adfærd
geografisk position
bevægelser
19
Artikel 22
Automatiske individuelle afgørelser og profilering
Den registrerede har ret
til ikke at blive underlagt
afgørelser, som alene er
baseret på automatisk
behandling af
personoplysninger,
herunder profilering
Undtagelser
De registrerede kan underlægges afgørelser, som udelukkende er baseret på
automatisk behandling af personoplysninger, herunder profilering, hvis:
Afgørelsen er hjemlet i lokal lov
Beslutningen er nødvendig for kontraktindgåelse eller –opfyldelse
Den registrerede har givet sit udtrykkelige samtykke
Hvis baseret på kontraktsopfyldelse eller udtrykkeligt samtykke, har den
registrerede følgende rettigheder:
Ret til menneskelig intervention fra dataansvarlig
Ret til at den registrerede kan udtrykke sin holdning og udfordre afgørelsen
Følsomme oplysninger må kun behandles i forbindelse med automatiske
individuelle afgørelser og profilering, hvis
den registrerede har givet sit udtrykkeligt samtykke
eller behandlingen sker som følge af en offentlig interesse (dvs. ikke kontrakt)
Transparens, oplysningspligt, begrænsning i brug af data osv.
Behandling af personoplysninger
20
Transparens
Den registrerede skal have lettere kontrol med egne personoplysninger
Udtrykkeligt krav om gennemsigtighed: Den registrerede skal i langt højere grad end i dag have oplysninger om behandlingen af personoplysningerne
Kravet gælder i vidt omfang allerede i dag i medfør af persondatalovens behandlingsprincipper og ”god databehandlingsskik”
Informationen skal være lettilgængelig og letforståelig
Begrænsning i brug af data
Personoplysningerne skal være tilstrækkelige, relevante og begrænset til det nødvendige
Behandlingen af den registreredes personoplysninger skal være mindst muligt integritetskrænkende
Personoplysninger bør kun behandles, hvis formålet med behandlingen ikke kan opfyldes på anden måde
Cross device trackingIndsamling og behandling af personoplysninger skal ske
efter et need to know-princip (ikke nice to know)
Vigtigt, når man behandler personoplysninger til markedsføring
21
Samtykke som behandlingsgrundlag
Er der indhentet et gyldigt samtykke?
Kan behandlingen med fordel baseres på et andet grundlag end samtykke?
Oplysningspligten
Har den registrerede fået oplyst, at personoplysninger anvendes i forbindelse
med markedsføring, herunder profilering?
Har den registrerede fået oplysninger om retten til at frabede sig behandlingen
af personoplysninger til markedsføringsformål?
De grundlæggende behandlingsprincipper
Behandles personoplysningerne i overensstemmelse med de grundlæggende
behandlingsprincipper?
Er de nødvendige og passende sikkerhedsforanstaltninger implementeret?
Involvering af tredjeparter
Husk risikovurdering og databehandleraftaler
Hvad skal marketing huske, når der behandles
personoplysninger i forbindelse med
leadgenerering og kampagner?
Introduktion til forordningen og grundlæggende begreber
Grundlæggende principper og behandlingsregler
Databehandlere, sikkerhed og dokumentation
22
Den registreredes rettigheder – herunder profilering
Dataansvarlig og databehandler
23
Den dataansvarlige træffer beslutning om behandlingsform, -formål, og -
omfang
Databehandleren følger beslutningerne, men har et - begrænset – råderum
Kravene til den dataansvarliges art. 30-dokumentation er mere omfattende
En dataansvarlig skal f.eks.
1. foretage pre-audit af databehandleren
2. indgå en skriftlig aftale med lovpligtigt indhold med databehandleren
3. løbende auditere databehandleren i aftaleforholdet
En databehandler skal f.eks.
1. stille sig til rådighed for inspektioner og audits
2. indgå underdatabehandleraftaler med sine leverandører
3. give information til dataansvarlig f.eks. ved sikkerhedsbrud
4. bidrage til dataansvarliges konsekvensanalyser
Hvorfor er det vigtigt, hvem der er hvad?
GDPRs tidslinje for brug af databehandlere
24
Pre-audit af
databehandler
Løbende audits af databehandler
Vurdering af, om databehandleren kan stille
fornødne garantier
Skriftlig databehandleraftale
1. 2. 3. 4.
Eksempel på relation med databehandlere
25
ABC virksomhed indgår en aftale med et marketingbureau om at
udsende markedsføringsmateriale pr. e-mail
ABC beslutter
at marketingaktiviteterne skal finde sted
hvilket materiale der skal sendes ud og til hvem
Bureauet beslutter
hvilket software der skal anvendes til udsendelserne
Er bureauet dataansvarlig eller databehandler?
Case: E-mail marketing Art. 29-gruppens guidelines
(WP169)
Sikkerhed
26
Risikoanalyse
Behandling af personoplysninger skal ske under anvendelse af et tilstrækkeligt sikkerhedsniveau, som fastsættes under hensyntagen til de tekniske muligheder, omkostningerne samt karakteren af behandlingen, behandlingens omfang og formål samt risikoen for den registrerede”
Sikkerhedstiltag kan bl.a. omfatte
pseudonymisering og kryptering
sikring af systemers/processers fortrolighed, integritet, tilgængelighed, modstandsdygtighed
tilstrækkelige mekanismer til gendannelse af data
jævnlige tests, vurderinger og evalueringer af effektiviteten af sikkerhedsforanstaltningerne mv.
Artikel 35: DPIA
Hvis behandlingen medfører høj risiko, skal der udføres en konsekvensanalyse
Høj risiko
F.eks. behandling i stort omfang af særlige kategorier af oplysninger eller af personoplysninger vedrørende straffedomme og lovovertrædelser
Området for, hvornår konsekvensanalyser er påkrævet er snævert
Passende tekniske og organisatoriske sikkerhedstiltag
Artikel 32
Sikkerhed hos databehandleren
27
Databehandleren må kun handle efter dokumenteret instruks
Databehandleren er ansvarlig for egne sikkerhedsbrud
Den dataansvarlige kan holdes medansvarlig afhængig af
hvilke instrukser den dataansvarlige har udstedt
i hvilket omfang den dataansvarligt har undersøgt og kontrolleret databehandlerens sikkerhedsforanstaltninger
Den dataansvarlige skal indgå en databehandleraftale med databehandleren
Aftalens indhold er reguleret i forordningen og omfatter bl.a.:
Databehandleren skal implementere de nødvendige og passende sikkerhedsforanstaltninger
Databehandleren skal stille de nødvendige oplysninger til rådighed for, at den dataansvarlige kan undersøge databehandlerens sikkerhed
Databehandleren skal lade den dataansvarlige inspicere sikkerheden
Den dataansvarlige skal foretage tre former for kontrol
Forudgående kontrol – løbende kontrol – efterfølgende kontrol
Hvad med sikkerhed, når behandlingen
varetages af en databehandler?
Kendskab til sikkerhedsbrud
Eventuel databehandler underretter straks dataansvarlig
Undersøgelser og beskrive kategorier af data, antal af registrerede, kontaktoplysninger, foranstaltninger, konsekvenser for registrerede, mv.
Den dataansvarlige underretter den registrerede, hvis sikkerhedsbruddet indebærer en høj risiko
Tilføje til fortegnelsen over sikkerhedsbrud
Fortegnelse
Underretning til registrerede
Undersøgelse og beskrivelse
5
Sikkerhedsbrud
28
2
Anmeldelse til Datatilsynet
Den dataansvarlige anmelder tilsynsmyndigheden senest 72 timer efter kendskab
Evt. trinvist hvis det ikke er muligt at give oplysningerne samlet
4
Sikkerhedsbrud
3
1Hvad sker der, hvis alle
marketingdata kompromitteres?
Nye krav om underretningen inden for
bestemte tidsfrister
Klar, parat, start – GDPR i 3 step
Projektplanlægning
Ressourcer
Identifikation af processer
Interviews / spørgeskemaer
29
Step 1
Dataflow analyse
Udarbejdelse af art. 30-dokumentation
Implementering af tiltag
Træning af medarbejdere
Audits (interne og eksterne)
Step 3Compliance og dokumentation
Step 2
Gap-analyse
Juridisk gennemgang af svar på interviews
Valg af compliance tiltag og prioritering
Udarbejdelse og ændringer, fx samtykker, privatlivspolitikker, mv.
Forhandlinger med databehandlere/dataansvarlige og leverandører af IT-systemer
KONTAKTDETALJER
30
Pia Kirstine Voldmester, PartnerIP, markedsføring & persondataret
Direkte tlf. 26 86 64 28
E-mail [email protected]