Slides fra morgeninspiration i København d. 22/3/2018 om emnet "Er du klar til den nye persondataforordning" præsenteret af IT advokat Tim Nielsen og digital strateg og redaktør Bo Mikael.
5. Introduktion
Hvad er fokus for dagens emne?
• Overblik!
• Fokus på rollefordelingen
• Herefter lidt praktisk håndtering af
databehandleraftaler
• Det skal være relevant
• Stil derfor gerne spørgsmål undervejs
• Q&A efter sidste indlæg
• Slides bliver tilsendt
6. • Speciale i teknologivirksomheder
• Rådgiver bl.a. om
• Persondata
• IT-anskaffelser & Outsourcing
• Licenser
• Konflikter
• …og andet branchespecifikt
• Certificeret IT-advokat
• Medlem af International Association of Privacy
Professionals
• DAHL i København siden 2014
• Kromann Reumert 2006-2014
• 2006-2008 - Selskabsret og finansiel regulering
• 2008- Teknologivirksomheder
Advokat
tim@dahllaw.dk
88 91 98 21
61 91 51 05
Tim Nielsen
7. Hvem er DAHL?
• 5 kontorer
• 200 medarbejdere
• Opdelt i specialer, f.eks.
• Persondata
• IT-forhold
• HR-forhold
• Outsourcing
• Selskabsforhold
• Skatter og afgifter
• …osv.
ESBJERG
AARHUS
VIBORG
HERNING
KØBENHAVN
10. Intro til persondataretten
• “Enhver form for information om en
identificeret eller identificerbar fysisk
person”
• Kan personen findes, er det persondata
• …også selvom det er næsten umuligt
• Særlig regulering!
11. Intro til persondataretten
Persondata omfatter f.eks.:
Direkte: Navn, adresse, telefonnummer, e-mail osv.
Indirekte: Kundenummer, referencer, billeder, lyd osv.
“Umulige”: IP-adresser, eksternt kundenummer, krypterede data, lokationsdata osv.
Persondata omfatter f.eks. ikke:
Teknisk data
Anonyme data
…forudsat at data ikke er sammensat med persondata
Næsten umuligt ikke at behandle persondata
12. Hjemmel
• Hvilke data indsamlet og fra hvem?
Formål?
Alm/Følsom data?
Hjemmel?
Overholdes reglerne?
Datasæt
Lovlig behandling!
• Hvilket formål indsamles data til – hvad skal data bruges til?
• Er det almindelig eller følsom data?
• Hvilken hjemmel anvendes ved indsamlingen, f.eks. samtykke eller lov?
• Overholder jeg i øvrigt reglerne (f.eks. Dataminimering, sikkerhed etc.)
• Så må data bruges
• …til det konkrete formål, med den konkrete hjemmel etc.
13. Parterne
• Fysisk person oplysningerne identificerer
• Den hele beskyttelsen omhandlerRegistreret
Dataansvarlig
Databehandler
• Dataejeren
• Bestemmer over oplysningerne om den registrerede
• Fuldt ansvarlig for reglernes overholdelse
• (Under)leverandør
• Behandling af oplysninger om registrerede på vegne af
dataansvarlig
• Begrænset ansvar for behandlingen
14. Dataansvarlig eller
databehandler?
Dataansvarlig eller databehandler?
• Afgørende hvem der bestemmer
• Formålet
• Hjælpemidlerne
• Reelt afgørende, om der handles efter instruks eller på eget initiativ
• Dermed også afgørende, hvilken ydelse der leveres
• Er databehandlingen ydelsen eller en accessorisk ydelse?
• Afgrænsningen er ikke helt nem!
• Dette på trods af en række vejledninger
15. En tredje mulighed?
Er man altid enten dataansvarlig eller databehandler
• Ja - også i koncerner!
• …og så alligevel…
• Medarbejdere er ikke dataansvarlig/databehandler
• Muligvis undtagelse for medarbejderlignende forhold
• Direkte instruks, kontrol osv. som var det en medarbejder
• Dog uklar rækkevidde
• Fremgår ikke af forordning eller vejledninger
16. Eksempel 1
Eksempel 1 - Hosting
• Adgang til kundens persondata?: Ja
• Hvem bestemmer formål databehandling: Kunden
• Hvem bestemmer hjælpemidler?: Kunden (i teorien i hvert fald)
Kunde: Dataansvarlig for egne data
Leverandør: Databehandler
17. Eksempel 2
Eksempel 2 - Konsulentydelser
• Adgang til kundens persondata?: Måske
• Hvem bestemmer formål databehandling: Kunden
• Hvem bestemmer hjælpemidler?: Kunden (i teorien i hvert fald)
Kunde: Dataansvarlig for egne data
Leverandør: Databehandler – hvis ydelsen reelt omhandler behandling af persondata
Dvs. ikke ren programmering
Men måske nok f.eks. migrering
Måske mulighed for hverken eller? (p.t. uklart!)
18. Eksempel 3
Eksempel 3 - Pakkeleverandør
• Adgang til kundens persondata?: Ja – oplysninger om slutkunden
• Hvem bestemmer formål databehandling: Kunden?
• Hvem bestemmer hjælpemidler?: Leverandør
Kunde: Dataansvarlig
Leverandør: Dataansvarlig
19. Forskellige typer data
Kundens data – eller data om kunden?
• Kundens data Databehandler eller evt. dataansvarlig
• Kundens kunder
• Kundens databaser
• Data om kunden Dataansvarlig
• Kontaktperson hos kunden
• Oplysninger om kunden
20. Konsekvenser
Konsekvenser af afgrænsningen (eksempler)
• Dataansvarlig: Det fulde ansvar
• Lovlig behandling (formål, hjemmel, sletning osv.)
• Registreredes rettigheder (oplysningspligt, indsigt, sletning osv.)
• Sikkerhedskrav
• Kontrol med databehandlere
• Dokumentation
• 4% bøder
21. Konsekvenser
Konsekvenser af afgrænsningen (eksempler)
• Databehandler: Begrænset ansvar
• Lovlig behandling (formål, hjemmel, sletning osv.)
• Registreredes rettigheder (oplysningspligt, indsigt, sletning osv.)
• Dog hjælpe dataansvarlig med opfyldelse af pligter
• Sikkerhedskrav
• Kontrol med databehandlere
• Dokumentation
• 4% bøder
• 2% …forudsat at der handles indenfor instruks!
• (4% dog for overførelse til tredjeland og manglende overholdelse af påbud)
23. Overførelse
Dataansvarlig
Databehandler
• ”En databehandlers behandling skal være reguleret af
en kontrakt eller et andet retligt dokument…”
• Hjemmel til databehandlerens lovlige behandling
af data
• Fastsætter vilkårene for behandlingen
• Legale krav
• Kommercielle krav
• Behøver ikke være en selvstændig aftale – kan
godt være del af hovedaftale
24. Videregivelse
• Videregivelse kræver ikke en databehandleraftale
• Til gengæld kræver det særskilt hjemmel, f.eks. samtykke eller nødvendighed
• Typisk restriktiv adgang hertil
• Normalt ikke ønskeligt – uden nærmere overvejelser
Dataansvarlig Dataansvarlig
25. Ansvar for databehandleraftalen
Hvem har ansvaret for at indgå databehandleraftale?
• Begge parter!
• Det er den der gør det lovligt at behandle data
• Dataansvarlig må ikke overlade data
• Databehandler må ikke behandle data
• Databehandling udenfor instruks Dataansvarlig
• Uklart om blot fraværet af skriftlig aftale har denne konsekvens
Hvis tvivl, indgå en databehandleraftale!
…med mindre klart dataansvarlig - dataansvarlig
26. Databehandleraftalen som
koncept
Underdatabehandlere
Leverandør: Start kæden ”bagfra” og brug så vidt muligt egen databehandleraftale
Kunde: Undgå overimplementering – det kan umuliggøre/fordyre brug af underleverandør
Kunden
(dataansvarlig)
Leverandør
(databehandler)
Underleverandør
(underdatabehandler)
Underleverandør
(underdatabehandler)
Jura
Kommercielt
Databeskyttelsesforpligtelser
Jura
Kommercielt
31. Bo Mikael
+ Journalist og redaktør siden 1982
+ Arbejdet digitalt siden 1996
+ Kontaktdirektør hos Peytz & Co
Disclaimer
+ Jeg er IKKE jurist
+ Forordningen er IKKE trådt i kraft
+ Den danske lovgivning er IKKE på plads
32. Fødselsdato
Helbredsoplysninger
IP-adresse
Kreditkort Tøj- og sko-størrelser
Billede
Fagforening
Parti
Adresse
Race
Køn
Telefonnummer
Mail
Sexuel overbevisning
Pasnummer
Religion
Sociale issues
GPS-info
Straffeattest
Uddannelse
MAC-adresse
Genetiske informationer
Elektroniske spor
Familie-informationer
StillingLogin
Interesser
Og så er jeg jo også alt det her
Varekøb
33. Det skal I gøre
+ Få overblik over data
+ Tjek jeres samtykker
+ Tjek jeres cookies
+ Tjek jeres databehandleraftaler
34. Dét her har I heldigvis allerede afklaret!
+ Hvor I indsamler jeres data
+ Hvilke data I indsamler
+ At I har samtykke (permission)
+ At I ved hvordan håndterer I jeres data
+ Hvor jeres data ligger ?
+ At I har databehandleraftaler på plads
37. Hvor opsamler I data?
+ Gennemgå jeres brugergrænseflader og identificér, hvor I
opsamler data
38. Hvad er det, I indsamler?
+ Hvilke data…?
▫ Navn
▫ Adresse
▫ Interesser
▫ Andet
+ Er det særligt følsomme informationer?
+ De rigtige samtykker
39. Hvordan bruges data?
+ Bruges de til kontakt?
+ Til salg?
+ Sammen med data fra andre kilder, f.eks. cookies?
+ Sammen med statistik fra Google Analytics eller Siteimprove?
+ Dækker samtykkerne?
+ Bruges data efter hensigten?
40. Hvem arbejder med jeres data?
+ Er det jer selv, der behandler data?
+ Eller er det en ekstern partner?
+ Sker det i EU, i et sikkert land eller i et usikkert land?
!!!
41. Hvordan er data-sikkerheden?
+ Er det hele beskrevet?
+ Har I en procedure for alt!
+ Ellers få den eller dem lavet!
+ Har I databehandler-aftaler?
+ Ellers få én – nu!
42. Databehandler-aftalen
+ Er I dataansvarlige eller databehandleren?
+ Har I en aftale eller aftaler, der afspejler dette?
!!!
43. Hvor ligger jeres data?
+ På egne servere?
+ I et eksternt server-miljø?
+ I skyen?
+ I EU, under Privacy Shield-aftalen eller i usikkert 3. land?
44. Hvordan er data beskyttet?
+ Hvem har adgang til servere?
+ Hvordan er jeres interne retningslinjer?
+ Er I i stand til at slette data?
+ Kan I flytte data?
+ Er det hele beskrevet? Ellers få det gjort!
+ Har I databehandler-aftaler?
46. Samtykke, samtykke og atter samtykke
+ Samtykke er læserens/brugerens accept af f.eks.:
▫ At modtage et nyhedsbrev
▫ At blive kontaktet på anden vis
▫ At vedkommendes data behandles
▫ At vedkommendes data indgår i en segmentering
▫ Og rigtigt meget andet !!!
47. Et samtykke skal…
+ … være frivilligt
+ … være informeret
+ … være specifikt
+ … kunne trækkes tilbage
!!!
48. Et samtykke må…
+ … ikke være underforstået
+ … ikke være koblet sammen med ”køb” af en anden ydelse
+ … ikke være for generelt
!!!
49. Som dataansvarlig skal du
+ … kunne bevise, at den registrerede har givet sit
samtykke
+ … have en standard for at afmelde eller slette en
person
+ … altid informere om:
▫ den dataansvarliges identitet
▫ formålet med den påtænkte behandling
▫ hvilke oplysninger, der behandles og om hvilken
behandling, der finder sted
!!!
51. Cookies er IKKE en del af GDPR, men…
+ Cookies kan indsamler mange forskellige slags
informationer
▫ Anonyme
▫ Personlige
▫ Følsomme
+ Derfor kan dine cookies kan blive omfattet af GDPR
52. Der er forskellige cookie-formål
+ Strictly necessary
+ Performance
+ Functionality
+ Targeting
53. What to do?
+ Tjek jeres sites for cookies
+ Identificer de cookies, der indsamler
personhenføredata (og find alle de andre samtidig)
+ Revidér jeres Cookie- og Privatlivspolitik
54.
55.
56. Når det er gjort,
så sørg for at jeres Cookie-
og privatlivspolitik er ajour
57. Cookie- og privatlivspolitik (best practice)
• Ejeroplysninger
• Hvad er cookies?
• Hvor bruger I dem?
• Så længe varer cookies?
• Sådan kan man undgå og slette cookies
• Hvilke cookies bruges og hvad bruges de til?
• Optimering af visning
• Statistik
• Sociale medier
• Markedsføring
• Kontaktinfo
58. Cookie- og privtalivspolitik (best practice)
EKSEMPEL:
ABC anvender analyseværktøjer fra blandt andet Google Analytics til at udarbejde statistik over
brugernes færden på vores site. Google Analytics m.fl. behandler oplysningerne på vegne af ABC.
For at indsamle statistik over brugen af ABC’s sits anvender vi en række systemer, der alle lægger
cookies:
- Google Analytics
- Google Tag Manager
- Crazy Egg
- Hotjar
Disse udbydere lægger alle cookies på ABC’s site for at indsamle anonyme data om brugernes
adfærd. De kan også indsamle personlige data. De deler data med tredjepart.
Du kan slette cookies fra Google her: https://tools.google.com/dlpage/gaoptout.
Disse cookies gemmes fra nul dage op til 2 år.
60. Hvad gør Peytz & Co
+ Arbejdsgruppe etableret i maj 2016
+ ISO-27001 compliance
+ Procesdokumentation og formalisering af
organisatoriske roller
+ Udvikler services og systemer, så de understøtter krav
fra GDPR
+ Indgår databehandleraftaler med vores kunder (IT-
Branchens modelkontrakt)
+ Indgår underdatabehandleraftaler med vores
leverandører - primært hosting partnere
61. Databehandleraftalen hos Peytz & Co
+ Peytz & Co anvender IT-Branchens modelkontrakt for
Databehandleraftaler
+ Det er en fordel for begge parter, at det er en
branchestandard
+ Databehandleraftalen indgås altid i forlængelse af en
driftsaftale med Peytz & Co - ift. hosting og/eller
abonnement på Peytz Mail
+ Peytz & Co har indgået Dataunderbehandleraftaler
med eksterne leverandører
62. Instruksen – vigtig for os og for jer
+ Beskrivelse af baggrunden for behovet for en
databehandleraftale med henvisning til de relevante
aftaler
+ Typer af personoplysninger, der behandles ved
levering af Hovedydelsen
+ Kategorier af fysiske personer omfattet af
Databehandleraftalen (fx. kunder, der har givet
tilladelse til at den dataansvarlige må sende information
på e-mail)