En gennemgang af den kommende nye persondataforordning, som træder i kraft 25. maj 2018 og er gældende i hele EU, og som påvirker alle, som opbevarer personoplysninger.

1. ©2017AbMano
Persondataforordningen

2. ©2017AbMano
Fasten your seatbelt!

3. ©2017AbMano
Persondataforordningen
• General Data Protection Regulation (GDPR)
• Opdatering af persondataloven på EU plan
• Beskyttelse personers private oplysninger og styrkelse
af personers retsstilling
• Gælder for offentlige myndigheder, private
virksomheder, foreninger m.v., der behandler
persondata (ikke personlige eller familiemæssige
aktiviteter)
• Gælder for myndigheder og virksomheder i
Danmark, som behandler personoplysninger i EU.

4. ©2017AbMano
Kort fortalt
• Pligt til have korrekte og ajourførte
personoplysninger
• Skærpede krav til samtykke
• Retten til at blive glemt
• Dokumentationskrav
• Krav til databehandlere
• Datasikkerhed
• Notifikationspligt
• Data Protection Officer (DPO)
• Bødeforlæg
• Træder i kraft 25. maj 2018

5. ©2017AbMano
Hvordan gribes det an?
• Kender nøglepersoner i virksomheden til forordningen?
• Hvilke personoplysninger behandler du?
– Hvor kommer de fra, og hvem deler du dem med?
– Hvilken type personoplysning?
• Hvilken information giver du den registrerede?
• Opfyldes de registreredes rettigheder?
• Hvordan indhentes, opbevares og dokumenteres
personoplysninger?
• Behandles personoplysninger om børn?
• Handling ved brud på persondatasikkerheden
• Er der særlige risici?
• Har du databeskyttelse i IT-systemer?
• Skal du have en Data Protection Officer?
• Har du afdelinger i flere lande?

6. ©2017AbMano
Hvad er behandling?
”Enhver aktivitet eller række af aktiviteter med eller uden brug af
automatisk behandling, som personoplysninger eller en samling af
personoplysninger gøres til genstand for”
Dvs. personoplysninger, der er eller vil blive indeholdt i et register.
Primært elektronisk behandling af oplysninger.
• Skal ske lovligt, rimeligt og på en gennemsigtig måde.
• Oplysninger må indsamles til udtrykkeligt angivne formål og må
ikke viderebehandles på en uforenelig måde. Dvs. må ikke
bruges til andet end det, de er indsamlet til.
• Oplysninger skal være korrekte og om nødvendigt ajourførte,
ellers skal de slettes eller berigtiges.
• Dataansvarlige skal ligeledes sikre, at der ikke (kan) registreres
urigtige eller vildledende oplysninger.
• Må ikke gemmes længere tid end nødvendigt (til formålet).

7. ©2017AbMano
Hvad er formålet?
• Formålet skal være sagligt og skal kunne begrundes.
• Hvad er forholdet mellem det oprindelig formål og
formålet med viderebehandling?
• Personoplysningerne skal være tilstrækkelige,
relevante og begrænset til, hvad der er nødvendigt i
forhold til formålet.
• Oplysningernes art skal svare til det formål, der
tilsigtes med behandlingen.
• Personoplysningerne skal som udgangspunkt kun
behandles, hvis formålet med behandlingen ikke
med rimelighed kan opfyldes på anden måde.
Need to know
– ikke nice to know
Need to know
– ikke nice to know

8. ©2017AbMano
Hvad er et register?

9. ©2017AbMano
Hvad er en personoplysning?
• ”Enhver form for information om en identificeret eller
identificerbar fysisk person (den registrerede)”
• F.eks.
– navn, adresse, telefonnummer, email, alder, arbejdsplads, uddannelse
m.v.
– identifikationsnummer, bl.a. CPR-nr., kundenr., medarbejdernr, IP-adresse
– kreditkortnummer
– oplysninger om kontaktpersoner hos samarbejdspartnere – f.eks. email el.
stilling
– optagelser fra overvågningskameraer
– billeder af personer, der kan identificeres
– oplysning om en persons fysiske eller psykiske tilstand samt medicinbrug
og misbrug af narkotika, alkohol og lign.
– fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale
oplysninger
– andre oplysninger, der kan henføres til en fysisk person

10. ©2017AbMano
Registreredes rettigheder
• Oplysningspligt
– Ret til at få oplysning om behandlingen af personoplysninger,
formålet for indsamling, hvem er dataansvarlig, evt.
modtagere af oplysninger m.v.
• Indsigtsret
– Ret til at få indsigt i hvilke oplysninger, der behandles
• Berigtigelse
– Ret til at få urigtige oplysninger berigtigtet
• Retten til at blive glemt
– Ret til at få slettet oplysninger (hvis de ikke længere er
nødvendige for formålet)
• Indsigelse
– Klage til Datatilsynet
• Dataportabilitet
– Overførsel af oplysninger til anden virksomhed

11. ©2017AbMano
Kategorier af personoplysninger
• Almindelige oplysninger
– Navn
– Adresse
– Telefonnummer
– Email
– Fødselsdato
– Uddannelse
– Stilling
– Løn
– Skat
– … m.m.
– Oplysninger om strafbare forhold 1,2)
– Sociale problemer 1,2)
– Andre rent private forhold end
følsomme oplysninger 1)
– CPR nr. 2)
1) Tidligere semi-følsomme oplysninger
2) Fastsættes i de enkelte medlems-
lande (visse oplysninger er endnu ikke
fastlagt)
• Personfølsomme oplysninger
– Race eller etnisk baggrund
– Politisk, religiøs eller filosofisk
overbevisning
– Fagforeningsmæssigt tilhørsforhold
– Genetiske eller biometriske data
med henblik på identifikation 3)
– Helbredsoplysninger
– Seksuel orientering
3) Nyt afsnit

12. ©2017AbMano
”Enhver frivillig, specifik,
informeret og utvetydig
viljestilkendegivelse fra den
registrerede, hvorved den
registrerede ved erklæring
eller klar bekræftelse
indvilliger i, at
personoplysninger, der
vedrører den pågældende,
gøres til genstand for
behandling.”
Samtykke

13. ©2017AbMano
Samtykke
• Frivilligt
– Uden tvang og baseret på reelt og frit valg (”opt out” ikke tilladt)
• Specifikt
– Hvilke oplysninger, til hvad, hvor længe m.m.
• Informeret
– Hvem behandler og hvordan; stiltiende samtykke er utilstrækkeligt
• Utvetydigt
– Ingen tvivl om afgivelse eller omfanget af et samtykke (f.eks. ikke indeholdt i
almindelige betingelser)
– Skal være klart og forståeligt
• Dokumentation
– Ikke krav om skriftlighed, men dataansvarlige har bevisbyrden;
– Nyt samtykke skal indhentes, hvis der ændres på forhold
• Tilbagetrækning
– Registrerede kan til enhver tid trække sit samtykke tilbage
lige så let som at give samtykke
– SKAL oplyses ved indhentelse af samtykke

14. ©2017AbMano
Skærpede krav til samtykke
• Almindelige oplysninger
– Samtykke
• Personfølsomme oplysninger
– Udtrykkeligt samtykke
• Særlig beskyttelse af mindreårige
(under 16/13 år)
– Kræver forældresamtykke

15. ©2017AbMano
Samtykkeindhold
• Informere om
– Formålet for indsamling
– Kontaktoplysninger på den dataansvarlige
– Modtagere af oplysninger (f.eks. kun virksomheden
selv)
– Rettighed til at rette og slette data
– Rettighed til at trække samtykke tilbage
– Mulighed for at klage til Datatilsynet

16. ©2017AbMano
Dataansvarlig og databehandler
Dataansvarlig
• En fysisk eller juridisk
person, offentlig
myndighed eller andet
organ, der alene eller
sammen med andre
afgør, til hvilke formål og
med hvilke hjælpemidler,
der må foretages
behandling af
personoplysninger
Databehandler
• En fysisk eller juridisk
person, offentlig
myndighed eller andet
organ, der behandler
personoplysning på den
dataansvarliges vegne
• Kræver indgåelse af
skriftlig
databehandleraftale
mellem den
dataansvarlige og
databehandleren

17. ©2017AbMano
Dataansvarlig
• Som udgangspunkt selve
virksomheden, ikke enkeltpersoner
• Ansvarlig for overholdelse af
størstedelen af GDPR

18. ©2017AbMano
Data Protection Officer
• Nødvendig, hvis
– virksomhedens hovedaktivitet beror på
databehandlingsprocesser, hvor det er
nødvendigt med omfattende og systematisk
overvågning af personer
– kerneaktiviteterne består af omfattende
behandling af følsomme personoplysninger
eller oplysninger om strafferetlige forhold

19. ©2017AbMano
Databehandler
• Databehandlere er ansvarlige for, at:
– Man ikke behandler data på andre måder, end man
har aftalt med den dataansvarlige
– Udarbejde reporter over behandlingsaktiviteterne
– Implementere passende tekniske og organisatoriske
sikkerhedsforanstaltninger
– Informere den dataansvarlige ved databrud - og uden
unødigt ophold
– Udpege en DPO, hvis det er påkrævet
– Overholde reglerne for overførsel af data til lande uden
for EU
– Eksplicitte betingelser for, hvornår en
databehandler må benytte sig af
underdatabehandlere
– Kan ifalde erstatningsansvar over for de
registrerede personer

20. ©2017AbMano
Krav til databehandleraftalens indhold
• Behandlingens varighed
• Formålet med behandlingen
• Typer af data, der behandles
• Kategorier af datasubjekter
• Databehandlerens pligter og rettigheder, navnlig
– alene behandle data efter den dataansvarliges dokumenterede instruks
– sikre, at medarbejdere, der behandler data, er underlagt en
fortrolighedsforpligtelse
– efterkomme alle lovpligtige sikkerhedsforanstaltninger
– overholde krav vedrørende anvendelse af andre databehandlere
– i muligt omfang bistå den dataansvarlige med at behandle begæringer,
udarbejde PIA, underretning af tilsynsmyndigheden ved
sikkerhedsbrud mv.
– være i stand til over for den dataansvarlige at fremvise alt
nødvendig information for at dokumentere compliance med
reglerne i forordningen

21. ©2017AbMano
Eksempel på databehandleraftale
”Databehandleren handler alene efter instruks fra den
dataansvarlige. Databehandleren skal træffe de fornødne tekniske
og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger
hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt
mod, at de kommer til uvedkommendes kendskab, misbruges eller i
øvrigt behandles i strid med lov om behandling af
personoplysninger. Databehandleren skal på den dataansvarliges
anmodning give den dataansvarlige tiltrækkelige oplysninger til, at
denne kan påse, at de nævnte tekniske og organisatoriske
sikkerhedsforanstaltninger er truffet.”
Ved mindre komplicerede løsninger, f.eks. hjemmesidehosting,
ifølge Datatilsynet

22. ©2017AbMano
Overførsel til tredjelande
• Overførsel
– Videregive personoplysninger til en
dataansvarlig udenfor EU
– Overlade personoplysninger til
databehandler udenfor EU
– Gælder også ‘kikke-adgang’
– Gælder uanset sprog (om man forstår det
eller ej)

23. ©2017AbMano
Overførsel til tredjelande
• Der må overføres persondata til 3. land såfremt:
– 3. land sikrer et tilstrækkeligt beskyttelsesniveau
– Den registrerede har givet udtrykkeligt samtykke
– Overførslen er nødvendig for at beskytte den
registreredes vitale interesser
– Binding Corporate Rules (godkendt af Datatilsynet)
– Overførsel af data til tredjelande, når overførslen er
nødvendigt for den dataansvarliges legitime formål, og
dennes interesse ikke overstiger den registrerede
persons interesse.

24. ©2017AbMano
Usikre tredjelande
• Afgøres af Kommissionen
• USA er IKKE et sikkert land!
– med mindre der er indgået EU-US Privacy Shield
– www.privacyshield.gov/list
• Overførsel til tredjeland kan finde sted, hvis den
registrerede person har givet sit udtrykkelige samtykke til
overførslen.
– Frivillig, specifik, informeret og utvetydig viljestilkendegivelse
fra den registrerede
– Information om mulige risici, overførslen kan medføre

25. ©2017AbMano
Virksomhed i flere EU lande
• Kommunikere med én tilsynsmyndighed inden
for EU (som hovedregel), når du foretager
grænseoverskridende behandlinger

26. ©2017AbMano
Databeskyttelse i IT-systemer
• Ikke indsamler flere personoplysninger end nødvendigt
• Ikke opbevarer oplysningerne længere end nødvendigt
• Ikke anvender oplysningerne til andre formål end det
formål, som oplysningerne oprindeligt blev indsamlet til.
• Indtænke databeskyttelse ved udvikling af nye eller
ændring af eksisterende it-systemer (databeskyttelse
gennem design/privacy by design)

27. ©2017AbMano
Privacy-by-design / Privacy-by-default
• Persondatabeskyttelse skal medtænkes, når du udvikler ny
teknologi, produkter eller ydelser
• Hvis du udvikler en ydelse eller et produkt, skal du overveje om
ydelsen eller produktet indebærer en behandling af persondata.
Hvis ja, skal passende sikkerhedsforanstaltninger indarbejdes fra
start
• By design
– Produktdesign egnet til persondatasikkerhed
– Teknik skal være ”designet” til compliance
• By default
– Kun relevante data indsamles og behandles
– Må ikke gemmes længere end nødvendigt
– Kun relevante personer har adgang
– Tilstrækkelige tekniske og organisatoriske mål
– Data beskyttelses politikker
– Anvende godkendte Code of Conduct’s og certificeringer
– Pseudonymisering

28. ©2017AbMano
Dokumentationskrav
• Passende dokumentation
• Demonstrere overholdelse af
persondataforordningen
• Skriftlig dokumentation for enhver
behandlingstype
• Den dataansvarlige skal have præcis,
lettilgængelig og tydelig information om:
– hvorfor og hvordan persondata behandles
– hvilke rettigheder datasubjektet har
– hvem der er dataansvarlig
– hvilke persondata, der er blevet behandlet
– overførsler til 3. lande, m.v.

29. ©2017AbMano
Notifikationspligt
• Hændelig eller ulovlig ødelæggelse, tab m.v.
• Databehandler informere dataansvarlige uden
ubegrundet ophold
• Dokumentere brud
• Anmelde bruddet til Datatilsynet inden for 72 timer
• Ved høj risiko for fysiske personers rettigheder eller
frihedsrettigheder, f.eks. risiko for diskrimination,
identitetstyveri eller bedrag skal de registrerede– uden
unødig forsinkelse – underrettes om bruddet

30. ©2017AbMano
Datasikkerhed
• Pseudonymisering og kryptering
• Fortrolighed, integritet og tilgængelighed
• Robusthed i systemer og tjenester
• Sikre gendannelse og adgang til data i tilfælde
af et fysisk eller teknisk hændelse
• Regelmæssigt test, vurdering og evaluering

31. ©2017AbMano
Dataportabilitet
• Ret til at modtage persondata om sig selv
• Struktureret
• Maskinlæsbart format
• Almindelig anvendelig elektroniske formater
• Ret til at få overført persondata direkte til en
anden service provider, hvor det er teknisk
muligt

32. ©2017AbMano
Retten til at blive glemt
• Persondata, som ikke længere er nødvendige
• Samtykke tilbagekaldes
• Databehandlingen er ulovlig
• Registreret person er under 16 år gammel
• Dog ikke hvor:
– Udøvelse af pressefrihed
– Overholdelse af gældende lov
– Databehandling i den offentlige interesse
– Arkivering opretholdt i den offentlige interesse

33. ©2017AbMano
Bødestørrelse
• Ved databrud
– 2% af virksomhedens globale omsætning eller €10 mio.
– Hvis virksomheden ikke har underrettet Datatilsynet om
et databrud, hvor der ikke er udarbejdet en impact
assessment, eller hvor oplysningspligten over for de
registrerede personer ikke er overholdt.
• Ved persondatabrud
– 4% af virksomhedens globale omsætning eller €20 mio.
– Hvis virksomheden foretager behandling uden
hjemmelsgrundlag, undlade at slette, give indsigt i eller
rette data samt ved ulovlig overførsel af data til
tredjelande.

34. ©2017AbMano
Hvor begynder du?
• Hvilke data?
– Medarbejdere
– Kunder
– Leverandører
– Kunders data
• Hvem deles data med?
• Hvem er dataansvarlig / databehandler?
– Underdatabehandlere?
– Overførsler til 3. land
• Tilstrækkelig dokumentation?

35. ©2017AbMano
Hvor begynder du?
• Hvor har du persondata?
– F.eks. webshop, CRM, kundeservice, mapper
• Hvilke data er det?
– Alm. eller følsomme personoplysninger
• Hvorfor har du data?
– F.eks. kundekartotek, salg, kontrakter
• Hvem har adgang?
– Hvem er det nødvendigt for?
• Hvad skal du gøre?
– F.eks. manglende dokumentation,
beskrivelse af processer og procedurer,
politikker, databehandleraftale

36. ©2017AbMano
Hvis GDPR var en bil …
• Spørge om at låne bilen?
• Hvem låner du den til?
• Hvor længe?
• Hvad skal du bruge den til?
• Sker der noget med bilen?
– Fartbøder, skader, p-bøde
• Underrettes ved skade
• Reparation af bilen
• Ønsker bilen retur – fortryder udlånet
• Hvem har nøglerne?

37. ©2017AbMano
Gode links
• Datatilsynet
– www.datatilsynet.dk
• Skræddersyet privatlivspolitik
– www.privacykompasset.erhvervsstyrelsen.dk
• Tjek din virksomheds IT-sikkerhed
– www.sikkerhedstjekket.dk/index.php
• EU-U.S. Privacy Shield
– www.datatilsynet.dk/erhverv/tredjelande/eu-us-
privacy-shield
– www.privacyshield.gov/list
• Persondatatesten
– www.persondatatesten.dk

38. ©2017AbMano
Du er velkommen til at kontakte mig
Bibbi Bryld
AbMano
2546 4260
bibbi@abmano.dk
www.abmano.dk