Sikkerhed, internet-of -things & persondata C-cure Advokat Peter Lind Nielsen 9. december 2014

Ingen grænser for hvad vi smider på nettet Uskyldige/harmløse “gadget” Kritisk udstyr der kan betyde lig og død Dan Tentler @Viss

Persondata? Registreres/behandles der persondata Identificerede eller identificerbare personer Ikke ret meget til før omfattet fx krydsreferencer IP-adresse, el-måler, RFID-tag, sædenummer? Big-data – krydsreferencer på speed Så gælder persondataloven! Ufravigelig og beskytter personer (datasubjekter) Hvilke typer af persondata? Følsomme oplysninger Oplysninger om andre rent private forhold (semi-følsomme) Almindelige ikke-følsomme oplysninger

Krav til oplysninger over for personen Hvilke oplysninger der indsamles, behandles m.v. Hvem den dataansvarlige er Flere dataansvarlige Og evt. databehandlere, underdatabehandlere Formålet Hvad bruges alle de data til? Må ikke behandles uden for formålet Lovhjemmel – må ikke behandles uden lovhjemmel af det offentlige Anonymisering – HELT anonyme! Den registreredes ret til indsigt i data Ret til sletning? Ret til rettelse af forkerte data

Yderligere brug af data - ofte en udfordring ved big-data Videregivelse Udgangspunkt krav om samtykke Samtykke kan tilbagekaldes (Retten til at blive glemt) Nyt formål Nyt samtykke Værdispringsreglen? For allerede indsamlede data?

Sikkerhed Privacy by design Mulighed for at slå registrering/videresendelse til/fra Uhensigtsmæssig eller ulovlig registrering undgås Privacy settings – evt. med sikkerhed som default! HOV – medfører det så en risiko, og virker produktet så? Behandling af oplysninger Krav i persondataloven - behandlingssikkerhed Organisatorisk/Teknisk sikkerhed Kan brugeren selv slette/give adgang? Sikkerhedsbrud – skal der gives meddelelse DK/EU/3. land? Hvor opbevares data

Ansvar for sikkerhedsbrud/dårlig sikkerhed “With millions of devices connected to the Internet – and in many cases running an embedded operating system – in 2014, they will become a magnet for hackers” Problem med sikkerhed Hvordan får vi folk til at opdatere firmware i køleskabet? Udsendelse af advarsel/Orientering om sikkerhedsbrud Erstatningsansvar for producenten Produktansvar – ufravigelig regler fx. personskade Er forsikringen opdateret For brugeren – dækkes de nye risici For producenten – dækkes de nye “produkter” og risici Overtrædelse af persondataloven EU-Forordning på vej - så falder der brænde ned! Krav om meddelelse til de berørte/offentliggørelse

Aftale med leverandører -databehandlerer eller p.g.a. egen sikkerhed Flere er databehandlere end man tror – ikke bare outsourcing Leverandører der har adgang til data, slette data o.s.v. Selvom ikke databehandler så et sikkerheds-issue Krav om overholdelse af persondataloven Krav om at virksomhedens sikkerhedskrav overholdes Hvad siger leverandørens egne sikkerhedskrav Vurdering af dette ved revision og attester hos leverandøren Krav om: Løbende indsigt i sikkerheden Rapportering af “brud” på sikkerheden Sanktioner i kontrakten hvis det sker Egen sikkerhed Overvågning/logning

Pas på med egen sikkerhed over for medarbejdere Og leverandørers medarbejdere, der har adgang til virksomhedens data/udstyr Logning af eksternes adfærd på kundens udstyr/lokaler Logning af medarbejderes adfærd Oplysningskrav Arbejdsmiljøregler Persondataregler Overenskomstregler – varslingskrav m.v. Fx. Geo-logning/GPS udstyr o.s.v.

Forordningen I dag Fremtiden Persondataloven Baseret på persondatadirektivet Forskelle i implementering fra land til land Fremtiden Samme forordning i hele EU Samme regler Nok lidt forskellig fortolkning

Forordningen Overordnede principper beholdes Større fokus på: Lovlig og loyal behandling Formålet skal være specifikt Data skal være præcise og ajour Data må kun opbevares, så længe de er nødvendige Dataansvarlige er ansvarlige for behandlingen Større fokus på: Gennemsigtighed Dokumentation Datasubjektets egen kontrol

Forordningen Stadig kun et forslag Officielle offentliggjorte udgave fra januar 2012 Ændringsforslag fra EU Parlamentet LIBE (udvalg for Borgernes Rettigheder og Retlige og Indre Anliggender) Afventer Kommissionens sammenfattede endelige forslag! Der VIL komme ændringer til forslaget

Forordningen Hvornår kan vi forvente forordningen Jean-Claude Juncker: Inden for 6 måneder (!) Men realistisk nok i løbet af 2015 Der forventes 2 års ’sunrise’-periode efter vedtagelsen Efter udløb af sunrise-periode, så fuld gyldighed

Nye rettigheder De hidtidige rettigheder bibeholdes Orienteringspligt til datasubjekterne Indsigtsret Ret til berigtigelse Indsigelsesret (udvides nok noget, særligt i forhold til markedsføring)

Nye rettigheder ’Retten til at blive glemt’ Udvidelse af sletningsretten Formålet er udtømt Samtykke tilbagekaldes Behandling i strid med forordning Berettiget indsigelse Så skal den dataansvarlige slette data Som er i den dataansvarliges rådighed Stoppe enhver distribution af dataene

Nye rettigheder ’Retten til at blive glemt’ Hvis dataansvarlige har offentliggjort data Så skal den dataansvarlige med alle rimelige midler sikre, at tredjeparter, som behandler data, der stammer fra den dataansvarlige Slettes af tredjepart Tredjepart sletter alle links til dataene Meget drøftet forslag – også af Parlamentet og LIBE Endnu ikke klart hvordan bestemmelse bliver udformet præcist Men ’retten til at blive glemt’ understøttes af ’Google-afgørelsen’ (c-131/12)

Nye rettigheder Dataportabilitet Hvor den dataansvarlige behandler persondata i et struktureret og gængs format Så har datasubjektet ret til at få en kopi af dataene (Hvis teknisk muligt) (Anonymiserede og pseudonymiserede data evt. undtaget) Hvis behandling sker pba. samtykke eller aftale Datasubjektet må overføre til andet system Oprindelig dataansvarlig skal acceptere

Krav om politikker Dataansvarlige skal have skriftlige politikker for alle behandlinger af persondata Hvorfor og hvordan persondata håndteres Hvem der er ansvarlig, og hvordan de kan kontaktes Datasubjektets rettigheder Gennemsigtighed Skal være let tilgængelige Tydeligt og letforståeligt sprog

Procedurekrav Dataansvarlig skal have nedskrevne, interne procedurer for håndteringen af: Orienteringspligt til datasubjekterne Indsigtsret Ret til berigtigelse Indsigelsesret Ret til sletning/retten til at blive glemt Dataportabilitet Afvisning Begrundes Klagemulighed og mulighed for retssag skal beskrives

Dokumentationskrav Dataansvarlige skal have regler og foranstaltninger, der viser og sikrer compliance Særligt ift: Dokumentationskrav Sikkerhedskrav Konsekvensanalyser (PIA – Privacy Impact Assessments) DPO (Data Processing Officer) Uafhængig revisionskontrol

Dokumentationskrav Dataansvarlig og databehandler skal have skriftlig dokumentation for enhver behandling, de foretager. Oplysning om: Kontaktoplysninger for dataansvarlig, databehandler og DPO(’er) Formålsbeskrivelse samt hjemmel Kategorier af datasubjekter og datatyper Kategorier af datamodtagere Overførsler til tredjelande Tidsgrænser for sletning Kontrolforanstaltninger ift. compliance (fx revisionsstandarder) Undtaget, hvis Mindre end 250 ansatte Databehandling ikke er en del af kernevirksomhed

Data Protection Impact Assessment DPIA (PIA) Skal laves, når der er særlige risici i medfør af behandlingens: Karakter Omfang Formål Fx: Automatisk analyse af personers økonomiske forhold, sundhedsforhold, præferencer eller adfærd Omfattende behandling af seksuelle forhold, sundhed eller race for at træffe beslutninger vedrørende grupper af personer Omfattende video-overvågning Laves af dataansvarlig eller databehandler

Data Protection Impact Assessment DPIA skal omfatte: Generel beskrivelse af behandlingen Risici ift. datasubjekterne Hvordan disse risici kan begrænses bl.a. ift. teknisk og organisatorisk sikkerhed Beskrive compliance med forordningen (evt. høring af datasubjekter eller repræsentanter) Myndigheder høres Hvis DPIA viser store risici ved behandlingen.

Privacy by design/default Alle systemer skal designes med persondatasikkerhed og overholdelse af forordningen i mente By default: Kun relevante data indsamles og behandles Data kan ikke gemmes længere end nødvendigt Kun relevante personer har adgang til data Eksisterende systemer, skal tilpasses Hensyntagen til: Omkostninger Aktuelle tekniske niveau Best practice Det forventes, at der kommer tekniske standarder

Sikkerhed Passende tekniske og organisatoriske sikkerhedsforanstaltninger Aktuelle tekniske niveau Omkostninger ved foranstaltninger Uddybende krav kan forventes Svarende til bekendtgørelser som Sikkerhedsbekendtgørelsen Krav om risikovurdering ved hver behandling Skal dokumenteres

Notificering Ved brud på persondatasikkerheden Myndighederne: Uden ugrundet ophold Redegøre for: Sikkerhedsbruddets karakter Konsekvenser af sikkerhedsbruddet Hvordan skaden er/vil blive søgt begrænset af den dataansvarlige Dokumentere alle relevante forhold omkring sikkerhedsbruddet, så myndigheden kan vurdere, om forordningen er overholdt (Evt. til brug for offentligt register over typer af sikkerhedsbrud)

Notificering Datasubjekterne Uden ugrundet ophold efter orientering af myndigheder Redegøre i letforståeligt sprog for: Sikkerhedsbruddets karakter og typer af omfattede data Konsekvenser af sikkerhedsbruddet Anbefalinger til hvordan datasubjektet kan begrænse skaden Kontaktoplysninger til DPO / dataansvarlig Hvor data er gjort ’uforståelige’ for uautoriserede personer – fx ved stærk kryptering – er der ingen notificeringspligt (evt. også over for myndigheder)

Data Protection Officers Der skal udpeges en DPO, hvis: offentlig myndighed (min. 250 ansatte) hovedaktivitet består i databehandling Ansat eller tredjepart Uafhængig Må ikke have ’interessekonflikter’ i stillingen (Udpeges for 2-årige perioder) (evt. beskyttet mod afskedigelse medmindre væsentlig misligholdelse) Rapporterer direkte til ledelse

Data Protection Officers DPO’ens job Deltage i alle spørgsmål vedrørende databehandling Kontaktperson for myndigheder og datasubjekter Tilsyn med overholdelse forordning (compliance) Implementere Politikker, procedure Sikkerhedskrav

Sanktioner Erstatning Alle, der lider tab som følge af overtrædelse, kan kræve erstatning Omvendt bevisbyrde! Dataansvarlig eller databehandler kan helt eller delvist fritages for erstatningsansvar, hvis: Beviser, at de ikke er ansvarlige for hændelsen, der medførte skaden. Datasubjektet skal stadig bevise tabet Kan være svært

Sanktioner (gælder også det offentlige!) Administrative sanktioner Niveauet, vi kender i dag, bliver væsentligt forøget Sanktioner skal være ’afskrækkende’ Ensartede i hele EU Advarsel Bøde Op til EUR 100.000.000 eller 5 % af årlig global omsætning Afhængigt af hvad der er højest Tage højde for: ’grovheden’, skades størrelse, gentagelse m.v.

Peter Lind Nielsen Advokat (H), partner peter.nielsen@twobirds.com Mobil 20 75 27 46 BIRD & BIRD ADVOKATPARTNERSELSKAB Bird & Bird Advokatpartnerselskab er et registreret selskab i Danmark under CVR-nr. 35 14 45 01.  Alle vores advokater er medlem af Advokatsamfundet og underlagt de advokatetiske regler fra Advokatrådet. Reglerne er tilgængelige her: www.advokatsamfundet.dk.   BIRD & BIRD Bird & Bird LLP, er et registreret partnerskab, registreret i England og Wales under registreringsnummer OC340318, der er autoriseret og underlagt Solicitors Regulation Authority, og dets regler og retningslinjer der er tilgængelige her: sra.org.uk/handbook/ For yderligere information om Bird & Bird internationalt, herunder Bird & Bird LLP, dets filialer og associerede selskaber (samlet benævnt ”Bird & Bird”), vores kontorer, ansatte, partnere og rådgivningsområder, brug af e-mails og regulatoriske forhold, se vores website på twobirds.com og navnlig ”Legal Notices”.