Takeaways:
- Blive klædt på til den kommende EU-forordning
- Gå i dybden med hvad man skal være opmærksom på i forhold til data
- Indblik i hvem der er omfattet af den nye forordning
- Hvornår er man behandler/hvornår er man ansvarlig
- Hvad betyder din rolle for dit arbejde?
- Hvad indebærer det, når man arbejder med sociale medier?
Komfo seminar: Er du klar til GDPR med Niels Dahl-Nielsen
1.
2. Disclaimer and copyright notice
• The presentation is for information purposes only, is general in nature, and is
not intended to and should not be relied upon or construed as a legal
opinion or legal advice regarding any specific issue or factual circumstance.
Nor is this information intended to create, and receipt of it does not create,
an attorney-client relationship between you and the firm. Therefore, you
should consult an attorney in the event you want legal advice.
• The person receiving this presentation via email from Synch is solely allowed
to review the presentation in digital form or printed form and any further use
of the presentation (including but not limited to copying, reproducing,
making available, incorporating the presentation into other works or
modifying etc.) is subject to Synch prior written authorisation. All rights are
vested in Synch.
7. Dagsorden
Aktuel status på lovgivningsprocessen
Hvad er databeskyttelse?
Betingelser for behandling af personoplysninger
Dataansvarlig eller databehandler?
Brug af SoMe
Forberedelse til GDPR?
9. Status
• GDPR vedtaget, foråret i 2016
• (bliver håndhævet fra den 25. maj 2018)
• Justitsministeriets betænkning, sommeren 2017
• Forslag til ny databeskyttelseslov fremsat 25. oktober 2017
(1. behandling i Folketinget 16. november 2017)
• Skal træde i kraft den 25. maj 2018
• Den nye databeskyttelseslov skal supplere GDPR med
danske særregler på en række områder
• Justitsministeriets vejledninger
12. Hvad er personoplysninger?
• Enhver information om en identificeret
eller identificerbar person fysisk person.
• “Følsomme oplysninger” (race eller
etnisk oprindelse, politisk overbevisning,
religiøs eller filosofisk overbevisning,
fagforeningsmedlemskab, genetisk eller
biometrisk data, seksuel orientering,
helbredsoplysninger)
Navn, IP-adresse,
emailadresse, GPS-
lokation, device
identifiers, biometrisk
data, indkomst,
helbredsoplysninger,
osv.
15. Overvejelser inden
behandlingen
1. Er der tale om behandling af personoplysninger?
2. Er de generelle behandlingsprincipper overholdt?
3. Er der hjemmel til behandlingen?
4. Håndtering af de registreredes rettigheder
5. Behandlingssikkerhed
17. Definition af behandlingens formål
• Hvilke opgaver løser vi, og hvilke data understøtter løsningen af
disse opgaver?
• Princippet om formålsbegrænsning
• Indsamling må kun ske til specifikke, udtrykkelige og legitime formål
• Behandling kun i overensstemmelse med formålet
• Viderebehandling må ikke være uforenelig med formålet
• Formålet vil afgøre
• Grundlaget for behandlingen
• Hvilke data, der kan indsamles
18. Princippet om dataminimering
• Alene indsamling af personoplysninger, der er
relevante og tilstrækkelige til opfyldelse af
behandlingsformålet
21. Behandlingsgrundlag – hjemmel?
Opfyldelse af
kontrakt
Overholdelse
af en retlig
forpligtelse
Nødvendig for
beskyttelse af
den registreredes
vitale interesser
Samfundets
interesse eller
udøvelse af
offentlig
myndighed
Interesseafvejning
Samtykke
22. Om samtykke
Samtykker kan tilbagekaldes!
Frivilligt, specifikt, informeret,
utvetydigt
“Udtrykkeligt” ved følsomme
oplysninger
Let forståeligt
Hvis afgivet sammen med
andre vilkår – klart
fremhævet
HUSK
dokumentationskravet!
23. Behandling af følsomme
oplysninger
• Behandling som udgangspunkt forbudt, medmindre
• Udtrykkeligt samtykke
• Nødvendig på det arbejdsretlige område med hjemmel i lovgivning
• Nødvendig for beskyttelse af vitale interesser
• Tydeligvis offentliggjort af den registrede
• Politiske, religiøse, faglige foreningers behandling af oplysninger om
medlemmer
• Nødvendig for at retskrav kan fastlægges, gøres gældende eller
forsvares
• Væsentlige samfundsinteresser
• Nødvendigt på sundhedsområdet af personer underlagt
tavshedspligt
• Arkivering i samfundets interesse, eller videnskabelige formål m.v.
24. Pligter overfor den registrerede –
oplysningspligt
• Privacy policy / privacy notice
• Præcist og letforståeligt sprog
• Gives for at den registrerede
kan vurdere risici ved
behandlingen
• Gives når
• De indsamles fra den registrerede
• Inden for rimelig tid, hvis
indsamlet fra tredjemand, eller
ved første kommunikation, eller
når oplysningerne videregives
Kontaktopl
ysninger
på den
datanasva
rlige (og
DPO)Opbevarin
gsperiode
Kategorier
af
modtagere
Oplysning
om
overførsel til
tredjemand
og
safegurads
Formål og
grundlag
for
behandlin
gen
Information
om de
registreredes
rettigheder
Div.
Yderligere
oplysninger
25. Overholdelse af den registreredes
rettigheder
Ret til
berigtigelse
Ret til ikke at
være genstand
for profilering
Ret til data-
portabilitet
Ret til sletning
Indsigtsret
Ret til indsigelse
Ret til
begrænsning
af behandling
26. Organisatoriske krav og
behandlingssikkerhed
• Tilstrækkelige sikkerhedsmæssige og organisatoriske
foranstaltninger
• Underretningspligt ved sikkerhedsbrud (72 timer)
• Pligt til at udpege DPO
• Pligt til at føre fortegnelse over behandlingsaktiviteter
• Konsekvensanalyser
27. Outsourcing af databehandling
• Outsourcing af behandlingsaktiviteter indebærer, at behandlingen
af data overlades af en ekstern part
• Den eksterne part behandler data på den dataansvarliges vegne i
henhold til instruks
• Hvor data overføres til et land uden for EU/EØS, kan dette kun ske,
hvis der er et tilstrækkeligt beskyttelsesniveau
• EU/EØS
• Sikre tredjemande
• Usikre tredjelande
• SCC
• Ad hoc-aftaler
• USA?
29. Hvem er hvem?
Datasubjekt Dataansvarlig Databehandler Underdatabehandler
Online trader Cloud Service Provider Datacenter
30. Dataansvarlig og
databehandler
• Dataansvarlig
• Den, der afgør til hvilke formål og med hvilke hjælpemidler, der
må foretages behandling af personoplysninger
• Databehandler
• En, der behandler personoplysninger på den dataansvarliges
vegne
• Handler udelukkende efter instruks fra den dataansvarlige og
må alene anvende oplysningerne til udførelsen af opgaven for
den dataansvarlige
• Som noget nyt kan også databehandleren ifalde ansvar
31. Den dataansvarliges forpligtelser
• Som dataansvarlig har man ansvaret for, at en
behandling lever op til GDPR, herunder fx:
• Generelle behandlingsprincipper
• Der skal være et retligt grundlag for behandlingen
• Overholdelse af de registreredes rettigheder
• Indberetning af eventuelle brud på persondatasikkerheden
• Ved brug af databehandlere, skal der indgås
databehandleraftaler
• Du skal føre tilsyn med databehandlere (og
underdatabehandlere)
32. Databehandlerforhold?
• Hvilken ydelse skal leveres?
• Alene tale om en databehandlersituation, hvis der behandles
personoplysninger efter instruks fra en dataansvarlig
• Hvis levering af ydelsen ikke kræver, at der afgives en instruks
om at behandle personoplysninger, vil det ikke være en
databehandlersituation. Gælder også selvom den anden part
modtager visse personoplysninger, som er nødvendige for
levering af (hoved)ydelsen.
34. ”Overladelse” vs ”videregivelse”
• ”Overladelse” kan ske frit, mens ”videregivelse” kræver
hjemmel og opfyldelse af oplysningspligt
• Derfor afgørende for den dataansvarlige at afklare,
hvem en modtager af personoplysninger er
• En intern person
• Data kan frit overlades internt (samme CVR-nr.)
• De generelle principper
• Autorisation og fortrolighed
• En databehandler
• Data kan frit overlades til databehandler, men der skal indgås
databehandleraftale
• Databehandleraftalen skal indeholde en instruks
• Der skal føres tilsyn med databehandleren
• Tredjemand (ny selvstændig dataansvarlig)
• De generelle behandlingsprincipper (bla. formålsbegrænsning)
• Behandlingsgrundlag
35. Videregivelse til ny selvstændig
dataansvarlig
• Videregivelse til en anden selvstændig dataansvarlig
• Der kræves:
• Hjemmel til videregivelse
• Hjemmel til at modtage (behandle) oplysninger
• (Hvis ikke databehandlerforhold, brug anden hjemmel end
samtykke)
• Modtagende part skal opfylde sin oplysningspligt
36. Databehandler
Databehandleraftale
• Skal være skriftlig og elektronisk
• Databehandleren skal iværksætte sikkerhedsforanstaltninger (art. 32)
• Databehandleren bistår den dataansvarlige med overholdelse af de
registreredes rettigheder
• Brug af underdatabehandlere kræves der skriftlig, forudgående specifik eller
generel tilladelse fra den dataansvarlige
• Underdatabehandleraftalen skal pålægge underdatabehandleren de
samme pligter som databehandleren
• Databehandleren er ansvarlig over for den dataansvarlige for
underdatabehandlerens behandling
• Databehandleren skal tilbagelevere eller slette alle oplysninger ved ophør
• Databehandleren stiller alle nødvendige oplysninger til rådighed og tillader
audit
• (listen er ikke udtømmende)
38. SoMe – Dataansvarlig eller
databehandler?
• Datatilsynets afgørelse af den 8. november 2013:
• Myndighed planlagde at oprette en profil på Facebook til
brug for pilotprojekt og rettede henvendelse til Datatilsynet
om konsekvenser af eventuel brug
• Myndigheden er dataansvarlig for så vidt angår
oplysninger i “indbakken”
• Facebook er databehandler (med alt, hvad det
medfører…)
39. Generelt ved brug af SoMe
• Når privatpersoner anvender SoMe til rent private formål,
gælder GDPR ikke
• Et post kan dog være tilgængeligt for så mange personer, at
det sidestilles med ”offentliggørelse”, og så gælder GDPR
• Virksomheders brug af SoMe er erhvervsmæssig (og
indebærer behandling af personoplysninger) og er derfor
omfattet af GDPR
40. Brug af Facebook audiences -
markedsføringsretligt
• ”Elektronisk post” (SMS/e-mail) eller ”anden
kommunikation”?
• Samtykkekrav eller krav om mulighed for opt-out
• Forbrugerombudsmanden
• Meddelelser i indbakke eller på tidslinje = elektronisk post
• Ads i newsfeed = Usikkert. Dog formentlig ”anden
kommunikation” derfor ikke samtykkekrav, men alene krav om
opt-out-mulighed fra hver enkelt annoncør
• Bannerannoncer = ingen af delene
41. Brug af Facebook audiences -
persondataretligt
• Erhvervsmæssig benyttelse. Undtagelsen om rent privat formål
gælder ikke
• Annoncøren er dataansvarlig
• Er der tale om ”behandling” fra Facebooks side?
• E-mail (hashed) bruges som ”identifier” (og ikke kommunikationsmiddel) og
slettes straks derefter. Behandlingen sker således på vegne af annoncøren.
• Facebooks vilkår næppe tilstrækkelige til databehandleraftale
• Hvad er annoncørens behandlingsgrundlag?
• Samtykke?
• Interesseafvejningsreglen
• Markedsføring ikke illegitimt formål
• ”Anden kommunikation” anses for mindre indgribende
• E-mailadressen er ”hashed”
43. Data protection has to be a
of
new projects, processes,
products, services etc.
44. Forberedelser
• Skab awareness og databeskyttelseskultur (man kan ikke købe
sig til compliance!)
• Data mapping
• Leverandører (databehandlere)
• Hvem er de?
• Hvilke data behandler de?
• Databehandleraftaler på plads?
• Dataoverførselsaftaler?
• Skab overblik over data og risici (Gap-analyse)
• Læg plan for mitigering af risici
• Genbesøg og løbende datagovernance
• HUSK den risikobaserede tilgang