PERSONDATALOVEN - UDFORDRINGER. Birthe Boisen, Juridisk Konsulent Tlf

Transkript

1 PERSONDATALOVEN - UDFORDRINGER Birthe Boisen, Juridisk Konsulent Tlf [email protected]

2 PERSONDATALOVEN OG PERSONDATAFORORDNINGEN Persondataloven Lov om behandling af personoplysninger, lov nr. 429 af 31. maj 2000 Persondataforordningen Vedtaget december ikrafttræden juni 2018 Hvor er vi? Hvor skal vi hen?

3

4 PERSONDATALOVEN Persondataloven gælder i dag - og har været gældende siden år 2000 Persondataloven er hovedloven for, hvornår og hvordan personoplysninger kan behandles. Hovedformålet med loven er at sikre den enkelte borgers privatliv mod unødig krænkelse.

5 PERSONDATALOVEN Anvendelsesområde Persondataloven gælder både for private virksomheder, foreninger og organisationer og for alle offentlige myndigheder. Persondataloven gælder som hovedregel for al elektronisk behandling af personoplysninger. Desuden gælder loven for manuel behandling af personoplysninger, som er indeholdt i et register. I den private sektor gælder persondataloven endvidere for systematisk behandling af personoplysninger, selvom den ikke foregår elektronisk. F.eks. sagsmapper, ringbind m.v.

6 PERSONDATALOVEN Persondataloven opdeler personoplysninger i tre typer: Følsomme oplysninger om menneskers rent private forhold: Racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold. Andre typer af oplysninger om rent private forhold anses også for at være følsomme. Det drejer sig om oplysninger om strafbare forhold, væsentlige sociale problemer og lignende følsomme privatlivsoplysninger, f.eks. om interne familieforhold. Almindelige personoplysninger kan f.eks. være identifikationsoplysninger, oplysninger om økonomiske forhold, kundeforhold eller andre lignende ikke følsomme oplysninger. Opdelingen findes, fordi der gælder forskellige betingelser og procedurer for behandling af personoplysninger afhængig af oplysningernes følsomhed.

7 HVAD SKAL DET ENKELTE SELSKAB GØRE? ANALYSE AF DATAFLOW KUNDER PERSONALE MÅLERDATA SAMARBEJDSPARTNERE HOLDINGSELSKAB, EDB- SELSKABER, CLOUD- LØSNINGER

8 ANMELDELSE TIL DATATILSYNET Der skal ske anmeldelse, hvis selskaberne behandler personfølsomme oplysninger I forhold til personale I forhold til kunder Dansk Fjernvarme er i dialog med Datatilsynet. Vi forventer at vide noget mere ultimo marts 2016.

9 PERSONDATAFORORDNINGEN Overordnede konsekvenser af persondataforordningen: De som behandler persondata, vil få større ansvar Individer vil få udvidede rettigheder De nationale datatilsyn vil få bedre og skærpede håndhævelsesmuligheder.

10 PERSONDATAFORORDNINGEN Hvorfor denne fokus på en forordning, der træder i kraft om 2 år? Bødeniveauet hæves markant Personalet skal have kendskab til korrekt behandling af personoplysninger EDB-systemerne skal kunne håndtere personoplysninger korrekt.

11 PERSONDATAFORORDNINGEN Alle virksomheder, der behandler persondata uanset om de er dataansvarlige eller alene behandler data på vegne af andre (databehandlere) er omfattet af forordningen. Underretning om alvorlige brud på datasikkerheden til de nationale tilsynsmyndigheder skal ske inden 72 timer. Der kan udstedes bøder på op til 4% af den globale årlige koncernomsætning og for øvrige op til Euro. Der er tale om et fælles ansvar hos dataansvarlig og databehandler. Den såkaldte DPO (Data Protection Officer) vil være et krav inden for den offentlige sektor og for større virksomheder.

12 PERSONDATAFORORDNINGEN Enkeltpersoner skal have mere information om, hvordan deres oplysninger behandles og informationen skal være tilgængelig på en klar og forståelig måde. Begæringer om indsigt skal svares indenfor 4 uger og de skal være gratis. One-stop mekanisme, hvor virksomhederne alene skal have kontakt med en enkelt tilsynsmyndighed. Som udgangspunkt bliver krav om anmeldelse og underretning vedrørende behandling af persondata fjernet helt.

13 PERSONDATAFORORDNINGEN Enkeltpersoner skal have mere information om, hvordan deres oplysninger behandles og informationen skal være tilgængelig på en klar og forståelig måde. Der stilles krav om samtykke til opbevaring af oplysninger. Begæringer om indsigt skal svares indenfor 4 uger og de skal være gratis. One-stop mekanisme, hvor virksomhederne alene skal have kontakt med en enkelt tilsynsmyndighed. Som udgangspunkt bliver krav om anmeldelse og underretning vedrørende behandling af persondata fjernet helt.

14 PERSONDATAFORORDNINGEN Klarere regler om retten til at blive glemt og specifikke krav om sletning af data, hvis dataene skulle være offentliggjort. Risiko-basere tilgang, hvor forpligtelserne er tilpasset de reelle risici. Dog er der også et krav om at kunne dokumentere virksomhedernes compliance med regelsættet. Evt. lempelser for små og mellemstore virksomheder f.eks. er det ikke et krav om DPO.

15 PERSONDATALOVEN OG EU-FORORDNINGEN HVAD ØNSKER DANSK FJERNVARME Ens svar og en samlet løsning for de relevante aktører indenfor forsyningsvirksomhederne HVORDAN Gruppe nedsat af medlemmer, medarbejdere og et edb-firma, der følger udviklingen på området, og som har kontakt til forskellige instanser og myndigheder herunder: Datatilsynet Forbrugerrådet Justitsministeriet Advokater EU REDSKABER Vejledninger, skabeloner til aftaler, FAQ Kurser

16 BUDSKABET FRA EU, DATATILSYNET + DFJ KEEP CALM AND PREPARE

17 TEMADAG OM PERSONDATA OG IT-SIKKERHED Den 30. marts 2016 kl Persondata i praksis i forhold til fjernvarmeselskabernes hverdag Den kommende persondataforordning IT-sikkerhed

18