Forordningen

Persondataforordningen &
kommuner
Vejle, 5. maj 2015
Advokat, partner Nis Peter Dall
Forordningen
●  I dag
−  Persondataloven (fra 2000)
•  Baseret på persondatadirektivet (fra 1995)
−  Forskelle i implementering fra land til land
●  Fremtiden
−  Samme forordning i hele EU
−  Samme regler
−  Nok lidt forskellig fortolkning
Side 2
1
Forordningen
●  Stadig kun et forslag
−  Første officielle udgave fra januar 2012
−  Siden da - flere forskellige (del-) udgaver.
−  Afventer Kommissionens sammenfattede endelige forslag
•  Forventes i løbet af sommeren 2015
−  Der VIL komme flere ændringer til forslaget
Side 3
Forordningen
●  Hvornår kan vi forvente forordningen?
−  Jean-Claude Juncker: Inden for 6 måneder (!)
•  Da han tiltrådte i nov. 2014
−  Men realistisk nok ultimo 2015
•  Der forventes 2 års ’sunrise’-periode efter vedtagelsen
•  Efter udløb af sunrise-periode, så fuld gyldighed
Side 4
2
Forordningen
●  Overordnede principperne beholdes
− 
− 
− 
− 
− 
Lovlig og loyal behandling
Formålet skal være specifikt
Data skal være præcise og ajour
Data må kun opbevares, så længe de er nødvendige
Dataansvarlige er ansvarlig for behandlingen
●  Større fokus på:
−  Gennemsigtighed
−  Dokumentation
−  Datasubjektets egen kontrol
Side 5
Mulighed for særlige regler
●  Grundlæggende skal forordningen overholdes
●  Men:
−  ”Member states should be allowed to maintain or introduce
national provisions to further specify the application of this
Regulation.” (30. april 2015)
Side 6
3
Data Protection Officers
●  Der skal udpeges en DPO, hvis:
−  offentlig myndighed
●  Ansat eller tredjepart
−  Kan ’deles’
●  Uafhængig
−  Må ikke have ’interessekonflikter’ i stillingen (kan blive svært!)
−  Udpeges:
• 
• 
For 4 år hvis ansat
For 2 år hvis ekstern
−  Muligvis særlig beskyttet
• 
Kun afskediges hvis væsentlig misligholdelse
−  Rapporterer direkte til ledelse
−  Skal have ’særlig kvalificeret’ viden om persondataret.
Side 7
Data Protection Officers
●  DPO’ens job
−  Deltage i alle spørgsmål vedrørende databehandling
−  Kontaktperson for myndigheder og datasubjekter
−  Tilsyn med overholdelse af forordning (compliance)
−  Implementere
•  Politikker, procedurer
•  Sikkerhedskrav
•  Sikre dokumentation
Side 8
4
Krav om politikker
●  Dataansvarlige skal have skriftlige politikker for alle
behandlinger af persondata
−  Hvorfor og hvordan persondata håndteres
−  Hvem der er ansvarlig, og hvordan de kan kontaktes
−  Datasubjektets rettigheder
●  Gennemsigtighed
−  Skal være let tilgængelige
−  Tydeligt og letforståeligt sprog
Side 9
Procedurekrav
●  Dataansvarlig skal have nedskrevne, interne procedurer for
håndteringen af:
− 
− 
− 
− 
− 
− 
Orienteringspligt til datasubjekterne
Indsigtsret
Ret til berigtigelse
Indsigelsesret
Ret til sletning/retten til at blive glemt
Dataportabilitet
●  Tidsfrist - én måned
●  Afvisning
−  Begrundes
−  Klagemulighed og mulighed for retssag skal beskrives
Side 10
5
Dokumentationskrav
●  Dataansvarlige skal have regler og foranstaltninger, der
viser og sikrer compliance
Særligt ift:
− 
− 
− 
− 
Dokumentationskrav
Sikkerhedskrav
Risikovurderinger / Konsekvensanalyser (DPIA)
DPO
Uafhængig revisionskontrol
Side 11
Dokumentationskrav
●  Dataansvarlig og databehandler skal have skriftlig
dokumentation for enhver behandling, de foretager.
−  Oplysning om:
•  Kontaktoplysninger for dataansvarlig, databehandler og DPO(’er)
•  Formålsbeskrivelse samt hjemmel
•  Kategorier af datasubjekter og datatyper
•  Kategorier af datamodtagere
•  Overførsler til tredjelande
•  Tidsgrænser for sletning
•  Kontrolforanstaltninger ift. compliance (fx revisionsstandarder)
Side 12
6
Sikkerhed
●  Passende tekniske og organisatoriske sikkerhedsforanstaltninger
−  Aktuelle tekniske niveau
−  Omkostninger ved foranstaltninger
●  Uddybende krav kan forventes
−  Svarende til bekendtgørelser som Sikkerhedsbekendtgørelsen
●  Krav om risikovurdering ved hver behandling
−  Skal dokumenteres
Side 13
Data Protection Impact Assessment
●  DPIA
−  Skal laves, når der er særlige risici i medfør af behandlingens:
•  Karakter
•  Omfang
•  Formål
•  Fx:
–  Behandling af mere end 5000 datasubjekter over en 12 måneders fortløbende periode
–  Hovedaktivitet består i databehandling
–  Hovedaktiviteten består i behandling af følsomme personoplysninger, lokationsdata eller data
vedrørende børn eller ansatte i store filhåndteringssystemer
−  Undtagelse for offentlige myndigheder, hvis:
•  Lovpligtig behandling, som følger af EU-retten
•  Regler og procedurer for behandling følger af loven
Side 14
7
Data Protection Impact Assessment
●  DPIA skal omfatte:
−  Generel beskrivelse af behandlingen
−  Risici ift. datasubjekterne
−  Hvordan disse risici kan begrænses bl.a. ift. teknisk og
organisatorisk sikkerhed
−  Beskrive compliance med forordningen
−  (evt. høring af datasubjekter eller repræsentanter)
●  Myndigheder høres
−  Hvis DPIA viser store risici ved behandlingen.
Side 15
Privacy by design/default
●  Alle systemer skal designes med persondatasikkerhed og
overholdelse af forordningen i mente
−  By default:
• 
• 
• 
Kun relevante data indsamles og behandles
Data kan ikke gemmes længere end nødvendigt
Kun relevante personer har adgang til data
−  Eksisterende systemer, skal tilpasses
−  Hensyntagen til:
• 
• 
• 
Omkostninger
Aktuelle tekniske niveau
Best practice
−  Det forventes, at der kommer tekniske standarder
Side 16
8
Sanktioner
●  Erstatning
−  Alle, der lider tab som følge af overtrædelse, kan kræve
erstatning
−  Omvendt bevisbyrde!
•  Dataansvarlig eller databehandler kan helt eller delvis fritages for
erstatningsansvar, hvis:
–  Beviser, at de ikke er ansvarlige for hændelsen, der medførte skaden.
−  Datasubjektet skal stadig bevise tabet
•  Kan være svært
•  Torterstatning?
Side 17
Sanktioner
●  Administrative sanktioner
−  Niveauet, vi kender i dag, bliver væsentligt forøget
•  Sanktioner skal være ’afskrækkende’
•  Ensartede i hele EU
−  Advarsel
•  Førstegansforseelse og ’non-intentional’
−  Bøde
•  Op til EUR 100.000.000 eller 5% af årlig global omsætning
–  Afhængigt af hvad der er højest.
•  Tage højde for: ’grovheden’, skades størrelse, gentagelse m.v.
Side 18
9
Kontaktoplysninger
Bird & Bird advokatfirma
www.twobirds.com
Nis Peter Dall, advokat, partner
!  Telefon: 72 24 12 12 !  Direkte: 39 14 16 50
!  Mobil: 20 75 27 47
!  E-mail: [email protected]
Side 19
Thank you
Advokat Nis Peter Dall
[email protected]
BIRD & BIRD ADVOKATPARTNERSELSKAB
Bird & Bird Advokatpartnerselskab er et registreret selskab i Danmark under CVR-nr. 35 14 45 01. Alle vores advokater er medlem af Advokatsamfundet og underlagt de advokatetiske
regler fra Advokatrådet. Reglerne er tilgængelige her: www.advokatsamfundet.dk.
BIRD & BIRD
Bird & Bird LLP, er et registreret partnerskab, registreret i England og Wales under registreringsnummer OC340318, der er autoriseret og underlagt Solicitors Regulation Authority, og
dets regler og retningslinier der er tilgængelige her: sra.org.uk/handbook/
For yderligere information om Bird & Bird internationalt, herunder Bird & Bird LLP, dets filialer og associerede selskaber (samlet benævnt ”Bird & Bird”), vores kontorer, ansatte,
partnere og rådgivningsområder, brug af e-mails og regulatoriske forhold, se vores website på twobirds.com og navnlig ”Legal Notices”.
10