Persondata-forordningen 21/09/2018 Persondata-forordningen Myter og fakta Lisa Ibenfeldt Schultz Databeskyttelsesrådgiver pr. 1. oktober 2017

Myter Databeskyttelsesforordningen sætter helt nye krav 21/09/2018 Myter Databeskyttelsesforordningen sætter helt nye krav Databeskyttelsesforordningen giver mere bureaukrati Ansættelse af databeskyttelsesrådgiver betyder, at universitetet overholder reglerne Universiteterne risikerer store bøder

Databeskyttelsesforordningen sætter nye krav til danske universiteter 21/09/2018 Myte 1 Databeskyttelsesforordningen sætter nye krav til danske universiteter

Fakta: Gamle principper og regler i ”nye klæder” 21/09/2018 Fakta: Gamle principper og regler i ”nye klæder” 1890: Warren og Brandis: The right to privacy 1974: Privacy Act for visse offentlige myndigheder i USA 1978: 2 registerlove i Danmark 1980: OECD Guidelines on the Protection of Privacy and transborder flows of Personal Data 1981: Europarådets konvention om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger 1995: EU-direktiv 95/46 EF (indre marked) 2000: Artikel 8 i EU Charter om grundlæggende rettigheder 2000: Persondataloven i Danmark 1. juli 2000 2012: Forslag til EU-forordning 2018: Databeskyttelsesforordning får virkning fra den 25. maj 2018: Dansk databeskyttelseslov – ophæver persondataloven

Fakta: EU Charter om grundlæggende rettigheder 21/09/2018 Fakta: EU Charter om grundlæggende rettigheder Artikel 8 Beskyttelse af personoplysninger 1. Enhver har ret til beskyttelse af personoplysninger, der vedrører ham/hende. 2. Disse oplysninger skal behandles rimeligt, til udtrykkeligt angivne formål og på grundlag af de berørte personers samtykke eller på et andet berettiget ved lov fastsat grundlag. Enhver har ret til adgang til indsamlede oplysninger, der vedrører ham/hende, og til berigtigelse heraf. 3. Overholdelsen af disse regler er underlagt en uafhængig myndigheds kontrol.

Databeskyttelsesforordningen giver mere bureaukrati 21/09/2018 Myte 2 Databeskyttelsesforordningen giver mere bureaukrati ,

Fakta: Forordningen viderefører overvejende gældende regler 21/09/2018 Fakta: Forordningen viderefører overvejende gældende regler Den grundlæggende struktur De centrale begreber De grundlæggende principper om god databehandlingsskik Behandlingshjemlerne for almindelige og følsomme data Sikkerhedskrav Overførsler til tredjelande

Fakta: God databehandlingsskik 21/09/2018 Fakta: God databehandlingsskik Princip 1: Lovlighed, rimelighed og gennemsigtighed Princip 2: Formålsbegrænsning Princip 3: Dataminimering Princip 4: Rigtighed Princip 5: Opbevaringsbegrænsning Princip 6: Integritet og fortrolighed

Fakta: Nye krav med mere/andet bureaukrati 21/09/2018 Fakta: Nye krav med mere/andet bureaukrati Samtykke Privacy by design and default Anmeldelser til Datatilsynet erstattes af fortegnelser Indberetningskrav ved sikkerhedsbrist Selvstændigt ansvar for databehandleren Databeskyttelsesrådgiver, DPO Retten til at blive glemt / datapotabilitet Tilsynsstrukturen Bødeniveau

Fakta: Persondata i forskning skal ikke anmeldes til Datatilsynet 21-09-2018 Fakta: Persondata i forskning skal ikke anmeldes til Datatilsynet Behandling af personoplysninger i forskningsprojekter og biobanker Krav om Datatilsynets udtalelse ved fællesanmeldelser falder bort Krav om fortegnelser opretholdes Københavns Universitet vil sandsynligvis opretholde godkendelsesordning Dialog med andre universiteter og leverandører af data Behov for fælles vejledninger / især for (internationale) forskningssamarbejder

Myte 3: Databeskyttelsesrådgiver 21/09/2018 Myte 3: Databeskyttelsesrådgiver Ansættelse af databeskyttelsesrådgiver betyder, at universitetet overholder reglerne

Fakta: Databeskyttelsesrådgiver 21/09/2018 Fakta: Databeskyttelsesrådgiver Databeskyttelsesrådgiver er et af flere tiltag til at sikre de registreredes rettigheder Databeskyttelsesrådgiveren rådgiver universitetets ledelse om alle spørgsmål om databeskyttelse behandler de registreredes klager Samarbejder med Datatilsynet, bl.a. ved sikkerhedsbrud Har ingen betydning for status for efterlevelse af de øvrige regler

Myte 4: Risiko for store bøder 21-09-2018 Myte 4: Risiko for store bøder Databeskyttelsesforordningen betyder risiko for store bøder til universiteterne

21-09-2018 Fakta om bøder Forordningens regler om administrative bøder – undtagelse for Danmark Betænkning 1565/2017 Justitsministeriet – forslag om databeskyttelseslov med mulighed for bødeforlæg til private Uafklaret om offentlige myndigheder skal kunne idømmes bøder

Hvad gør Københavns Universitet? 21-09-2018 Hvad gør Københavns Universitet? Ansættelse af databeskyttelsesrådgiver pr. 1.10.2017 Internt vejledningsmateriale og tjeklister On-line skema til fortegnelser integreret med workzone Indgåelse af databehandleraftaler – indhold og kompetencer Generel databeskyttelsespolitik Generel awareness-kampagne til udvalgte målgrupper i 2018 Tema 1: De registreredes rettigheder Tema 2: Korrekt og sikker opbevaring af data (logning) Tema 3: Databehandleraftaler

Hvad overvejer Københavns Universitet? 21-09-2018 Hvad overvejer Københavns Universitet? E-læringskurser til administratorer - supplement til eksisterende ”test-dig-selv” for forskere Intern certificeringsordning til forskere / administratorer Intern organisering af viden – eksperter på fakulteter organiseret i netværk Konsekvensanalyser, PIA på udvalgte områder