際際滷

際際滷Share a Scribd company logo

Komfo seminar: Er du klar til GDPR med Niels Dahl-Nielsen

Komfo
Komfo

Takeaways: - Blive kl脱dt p奪 til den kommende EU-forordning - G奪 i dybden med hvad man skal v脱re opm脱rksom p奪 i forhold til data - Indblik i hvem der er omfattet af den nye forordning - Hvorn奪r er man behandler/hvorn奪r er man ansvarlig - Hvad betyder din rolle for dit arbejde? - Hvad indeb脱rer det, n奪r man arbejder med sociale medier?

1 of 48
Download to read offline
Komfo seminar: Er du klar til GDPR med Niels Dahl-Nielsen
Disclaimer and copyright notice The presentation is for information purposes only, is general in nature, and is not intended to and should not be relied upon or construed as a legal opinion or legal advice regarding any specific issue or factual circumstance. Nor is this information intended to create, and receipt of it does not create, an attorney-client relationship between you and the firm. Therefore, you should consult an attorney in the event you want legal advice. The person receiving this presentation via email from Synch is solely allowed to review the presentation in digital form or printed form and any further use of the presentation (including but not limited to copying, reproducing, making available, incorporating the presentation into other works or modifying etc.) is subject to Synch prior written authorisation. All rights are vested in Synch.
SynchWakeup @Komfo 6 December 2017 Why and how to prepare for the GDPR Advokat Niels Dahl-Nielsen, Synch
Synch is a business oriented law firm with innovation and technology at its
Silicon Valley Copenhagen Stockholm
Growth Established Mature Vores klienter
Dagsorden Aktuel status p奪 lovgivningsprocessen Hvad er databeskyttelse? Betingelser for behandling af personoplysninger Dataansvarlig eller databehandler? Brug af SoMe Forberedelse til GDPR?
Aktuel status p奪 lovgivningsprocessen
Status GDPR vedtaget, for奪ret i 2016 (bliver h奪ndh脱vet fra den 25. maj 2018) Justitsministeriets bet脱nkning, sommeren 2017 Forslag til ny databeskyttelseslov fremsat 25. oktober 2017 (1. behandling i Folketinget 16. november 2017) Skal tr脱de i kraft den 25. maj 2018 Den nye databeskyttelseslov skal supplere GDPR med danske s脱rregler p奪 en r脱kke omr奪der Justitsministeriets vejledninger
Hvad er databeskyttelse?
Personoplysninger skal behandles
Hvad er personoplysninger? Enhver information om en identificeret eller identificerbar person fysisk person. F淡lsomme oplysninger (race eller etnisk oprindelse, politisk overbevisning, religi淡s eller filosofisk overbevisning, fagforeningsmedlemskab, genetisk eller biometrisk data, seksuel orientering, helbredsoplysninger) Navn, IP-adresse, emailadresse, GPS- lokation, device identifiers, biometrisk data, indkomst, helbredsoplysninger, osv.
Hvad er behandling? indsamling registrering organisering systematisering opbevaring tilpasning redigering videregivelse s淡gning brug overf淡rsel tilpasning strukturering sammenk淡ring tilintetg淡relse vurdering sletning
Betingelser for behandling af personoplysninger
Overvejelser inden behandlingen 1. Er der tale om behandling af personoplysninger? 2. Er de generelle behandlingsprincipper overholdt? 3. Er der hjemmel til behandlingen? 4. H奪ndtering af de registreredes rettigheder 5. Behandlingssikkerhed
Generelle behandlingsprincipper Lovlighed, rimelighed og gennemsigtighed Form奪lsbegr脱nsning Dataminimering Rigtighed Opbevaringsbegr脱nsning Integritet og fortrolighed Ansvarlighed (accountability)
Definition af behandlingens form奪l Hvilke opgaver l淡ser vi, og hvilke data underst淡tter l淡sningen af disse opgaver? Princippet om form奪lsbegr脱nsning Indsamling m奪 kun ske til specifikke, udtrykkelige og legitime form奪l Behandling kun i overensstemmelse med form奪let Viderebehandling m奪 ikke v脱re uforenelig med form奪let Form奪let vil afg淡re Grundlaget for behandlingen Hvilke data, der kan indsamles
Princippet om dataminimering Alene indsamling af personoplysninger, der er relevante og tilstr脱kkelige til opfyldelse af behandlingsform奪let
Princippet om opbevaringsbegr脱nsning Personoplysninger m奪 kun opbevares (i personhenf淡rbar form) s奪 l脱nge det er n淡dvendigt af hensyn til behandlingsform奪let Slettepolitikker skal underst淡tte dette
Ansvarlighed (accountability) Man skal sige, hvad man g奪r og forklare hvorfor Man skal g淡re, hvad man siger og dokumentere det
Behandlingsgrundlag hjemmel? Opfyldelse af kontrakt Overholdelse af en retlig forpligtelse N淡dvendig for beskyttelse af den registreredes vitale interesser Samfundets interesse eller ud淡velse af offentlig myndighed Interesseafvejning Samtykke
Om samtykke Samtykker kan tilbagekaldes! Frivilligt, specifikt, informeret, utvetydigt Udtrykkeligt ved f淡lsomme oplysninger Let forst奪eligt Hvis afgivet sammen med andre vilk奪r klart fremh脱vet HUSK dokumentationskravet!
Behandling af f淡lsomme oplysninger Behandling som udgangspunkt forbudt, medmindre Udtrykkeligt samtykke N淡dvendig p奪 det arbejdsretlige omr奪de med hjemmel i lovgivning N淡dvendig for beskyttelse af vitale interesser Tydeligvis offentliggjort af den registrede Politiske, religi淡se, faglige foreningers behandling af oplysninger om medlemmer N淡dvendig for at retskrav kan fastl脱gges, g淡res g脱ldende eller forsvares V脱sentlige samfundsinteresser N淡dvendigt p奪 sundhedsomr奪det af personer underlagt tavshedspligt Arkivering i samfundets interesse, eller videnskabelige form奪l m.v.
Pligter overfor den registrerede oplysningspligt Privacy policy / privacy notice Pr脱cist og letforst奪eligt sprog Gives for at den registrerede kan vurdere risici ved behandlingen Gives n奪r De indsamles fra den registrerede Inden for rimelig tid, hvis indsamlet fra tredjemand, eller ved f淡rste kommunikation, eller n奪r oplysningerne videregives Kontaktopl ysninger p奪 den datanasva rlige (og DPO)Opbevarin gsperiode Kategorier af modtagere Oplysning om overf淡rsel til tredjemand og safegurads Form奪l og grundlag for behandlin gen Information om de registreredes rettigheder Div. Yderligere oplysninger
Overholdelse af den registreredes rettigheder Ret til berigtigelse Ret til ikke at v脱re genstand for profilering Ret til data- portabilitet Ret til sletning Indsigtsret Ret til indsigelse Ret til begr脱nsning af behandling
Organisatoriske krav og behandlingssikkerhed Tilstr脱kkelige sikkerhedsm脱ssige og organisatoriske foranstaltninger Underretningspligt ved sikkerhedsbrud (72 timer) Pligt til at udpege DPO Pligt til at f淡re fortegnelse over behandlingsaktiviteter Konsekvensanalyser
Outsourcing af databehandling Outsourcing af behandlingsaktiviteter indeb脱rer, at behandlingen af data overlades af en ekstern part Den eksterne part behandler data p奪 den dataansvarliges vegne i henhold til instruks Hvor data overf淡res til et land uden for EU/ES, kan dette kun ske, hvis der er et tilstr脱kkeligt beskyttelsesniveau EU/ES Sikre tredjemande Usikre tredjelande SCC Ad hoc-aftaler USA?
Dataansvarlig eller databehandler?
Hvem er hvem? Datasubjekt Dataansvarlig Databehandler Underdatabehandler Online trader Cloud Service Provider Datacenter
Dataansvarlig og databehandler Dataansvarlig Den, der afg淡r til hvilke form奪l og med hvilke hj脱lpemidler, der m奪 foretages behandling af personoplysninger Databehandler En, der behandler personoplysninger p奪 den dataansvarliges vegne Handler udelukkende efter instruks fra den dataansvarlige og m奪 alene anvende oplysningerne til udf淡relsen af opgaven for den dataansvarlige Som noget nyt kan ogs奪 databehandleren ifalde ansvar
Den dataansvarliges forpligtelser Som dataansvarlig har man ansvaret for, at en behandling lever op til GDPR, herunder fx: Generelle behandlingsprincipper Der skal v脱re et retligt grundlag for behandlingen Overholdelse af de registreredes rettigheder Indberetning af eventuelle brud p奪 persondatasikkerheden Ved brug af databehandlere, skal der indg奪s databehandleraftaler Du skal f淡re tilsyn med databehandlere (og underdatabehandlere)
Databehandlerforhold? Hvilken ydelse skal leveres? Alene tale om en databehandlersituation, hvis der behandles personoplysninger efter instruks fra en dataansvarlig Hvis levering af ydelsen ikke kr脱ver, at der afgives en instruks om at behandle personoplysninger, vil det ikke v脱re en databehandlersituation. G脱lder ogs奪 selvom den anden part modtager visse personoplysninger, som er n淡dvendige for levering af (hoved)ydelsen.
Er din databehandler databehandler?... Hvem tr脱ffer afg淡relse om form奪l og hj脱lpemidler? Kan du bede din databehandler om at slette oplysningerne?
Overladelse vs videregivelse Overladelse kan ske frit, mens videregivelse kr脱ver hjemmel og opfyldelse af oplysningspligt Derfor afg淡rende for den dataansvarlige at afklare, hvem en modtager af personoplysninger er En intern person Data kan frit overlades internt (samme CVR-nr.) De generelle principper Autorisation og fortrolighed En databehandler Data kan frit overlades til databehandler, men der skal indg奪s databehandleraftale Databehandleraftalen skal indeholde en instruks Der skal f淡res tilsyn med databehandleren Tredjemand (ny selvst脱ndig dataansvarlig) De generelle behandlingsprincipper (bla. form奪lsbegr脱nsning) Behandlingsgrundlag
Videregivelse til ny selvst脱ndig dataansvarlig Videregivelse til en anden selvst脱ndig dataansvarlig Der kr脱ves: Hjemmel til videregivelse Hjemmel til at modtage (behandle) oplysninger (Hvis ikke databehandlerforhold, brug anden hjemmel end samtykke) Modtagende part skal opfylde sin oplysningspligt
Databehandler Databehandleraftale Skal v脱re skriftlig og elektronisk Databehandleren skal iv脱rks脱tte sikkerhedsforanstaltninger (art. 32) Databehandleren bist奪r den dataansvarlige med overholdelse af de registreredes rettigheder Brug af underdatabehandlere kr脱ves der skriftlig, forudg奪ende specifik eller generel tilladelse fra den dataansvarlige Underdatabehandleraftalen skal p奪l脱gge underdatabehandleren de samme pligter som databehandleren Databehandleren er ansvarlig over for den dataansvarlige for underdatabehandlerens behandling Databehandleren skal tilbagelevere eller slette alle oplysninger ved oph淡r Databehandleren stiller alle n淡dvendige oplysninger til r奪dighed og tillader audit (listen er ikke udt淡mmende)
Brug af SoMe
SoMe Dataansvarlig eller databehandler? Datatilsynets afg淡relse af den 8. november 2013: Myndighed planlagde at oprette en profil p奪 Facebook til brug for pilotprojekt og rettede henvendelse til Datatilsynet om konsekvenser af eventuel brug Myndigheden er dataansvarlig for s奪 vidt ang奪r oplysninger i indbakken Facebook er databehandler (med alt, hvad det medf淡rer)
Generelt ved brug af SoMe N奪r privatpersoner anvender SoMe til rent private form奪l, g脱lder GDPR ikke Et post kan dog v脱re tilg脱ngeligt for s奪 mange personer, at det sidestilles med offentligg淡relse, og s奪 g脱lder GDPR Virksomheders brug af SoMe er erhvervsm脱ssig (og indeb脱rer behandling af personoplysninger) og er derfor omfattet af GDPR
Brug af Facebook audiences - markedsf淡ringsretligt Elektronisk post (SMS/e-mail) eller anden kommunikation? Samtykkekrav eller krav om mulighed for opt-out Forbrugerombudsmanden Meddelelser i indbakke eller p奪 tidslinje = elektronisk post Ads i newsfeed = Usikkert. Dog formentlig anden kommunikation derfor ikke samtykkekrav, men alene krav om opt-out-mulighed fra hver enkelt annonc淡r Bannerannoncer = ingen af delene
Brug af Facebook audiences - persondataretligt Erhvervsm脱ssig benyttelse. Undtagelsen om rent privat form奪l g脱lder ikke Annonc淡ren er dataansvarlig Er der tale om behandling fra Facebooks side? E-mail (hashed) bruges som identifier (og ikke kommunikationsmiddel) og slettes straks derefter. Behandlingen sker s奪ledes p奪 vegne af annonc淡ren. Facebooks vilk奪r n脱ppe tilstr脱kkelige til databehandleraftale Hvad er annonc淡rens behandlingsgrundlag? Samtykke? Interesseafvejningsreglen Markedsf淡ring ikke illegitimt form奪l Anden kommunikation anses for mindre indgribende E-mailadressen er hashed
Forberedelse til GDPR
Data protection has to be a of new projects, processes, products, services etc.
Forberedelser Skab awareness og databeskyttelseskultur (man kan ikke k淡be sig til compliance!) Data mapping Leverand淡rer (databehandlere) Hvem er de? Hvilke data behandler de? Databehandleraftaler p奪 plads? Dataoverf淡rselsaftaler? Skab overblik over data og risici (Gap-analyse) L脱g plan for mitigering af risici Genbes淡g og l淡bende datagovernance HUSK den risikobaserede tilgang
皆沿淡姻乙壊馨奪鉛?
HUSK tilmelding til n脱ste seminar den 17. januar 2018! Tak for i dag!
Niels Dahl-Nielsen niels.dahl-nielsen@synchlaw.dk +45 4030 9749
Komfo seminar: Er du klar til GDPR med Niels Dahl-Nielsen

More Related Content

Komfo seminar: Er du klar til GDPR med Niels Dahl-Nielsen

  • 2. Disclaimer and copyright notice The presentation is for information purposes only, is general in nature, and is not intended to and should not be relied upon or construed as a legal opinion or legal advice regarding any specific issue or factual circumstance. Nor is this information intended to create, and receipt of it does not create, an attorney-client relationship between you and the firm. Therefore, you should consult an attorney in the event you want legal advice. The person receiving this presentation via email from Synch is solely allowed to review the presentation in digital form or printed form and any further use of the presentation (including but not limited to copying, reproducing, making available, incorporating the presentation into other works or modifying etc.) is subject to Synch prior written authorisation. All rights are vested in Synch.
  • 3. SynchWakeup @Komfo 6 December 2017 Why and how to prepare for the GDPR Advokat Niels Dahl-Nielsen, Synch
  • 4. Synch is a business oriented law firm with innovation and technology at its
  • 7. Dagsorden Aktuel status p奪 lovgivningsprocessen Hvad er databeskyttelse? Betingelser for behandling af personoplysninger Dataansvarlig eller databehandler? Brug af SoMe Forberedelse til GDPR?
  • 9. Status GDPR vedtaget, for奪ret i 2016 (bliver h奪ndh脱vet fra den 25. maj 2018) Justitsministeriets bet脱nkning, sommeren 2017 Forslag til ny databeskyttelseslov fremsat 25. oktober 2017 (1. behandling i Folketinget 16. november 2017) Skal tr脱de i kraft den 25. maj 2018 Den nye databeskyttelseslov skal supplere GDPR med danske s脱rregler p奪 en r脱kke omr奪der Justitsministeriets vejledninger
  • 12. Hvad er personoplysninger? Enhver information om en identificeret eller identificerbar person fysisk person. F淡lsomme oplysninger (race eller etnisk oprindelse, politisk overbevisning, religi淡s eller filosofisk overbevisning, fagforeningsmedlemskab, genetisk eller biometrisk data, seksuel orientering, helbredsoplysninger) Navn, IP-adresse, emailadresse, GPS- lokation, device identifiers, biometrisk data, indkomst, helbredsoplysninger, osv.
  • 13. Hvad er behandling? indsamling registrering organisering systematisering opbevaring tilpasning redigering videregivelse s淡gning brug overf淡rsel tilpasning strukturering sammenk淡ring tilintetg淡relse vurdering sletning
  • 14. Betingelser for behandling af personoplysninger
  • 15. Overvejelser inden behandlingen 1. Er der tale om behandling af personoplysninger? 2. Er de generelle behandlingsprincipper overholdt? 3. Er der hjemmel til behandlingen? 4. H奪ndtering af de registreredes rettigheder 5. Behandlingssikkerhed
  • 16. Generelle behandlingsprincipper Lovlighed, rimelighed og gennemsigtighed Form奪lsbegr脱nsning Dataminimering Rigtighed Opbevaringsbegr脱nsning Integritet og fortrolighed Ansvarlighed (accountability)
  • 17. Definition af behandlingens form奪l Hvilke opgaver l淡ser vi, og hvilke data underst淡tter l淡sningen af disse opgaver? Princippet om form奪lsbegr脱nsning Indsamling m奪 kun ske til specifikke, udtrykkelige og legitime form奪l Behandling kun i overensstemmelse med form奪let Viderebehandling m奪 ikke v脱re uforenelig med form奪let Form奪let vil afg淡re Grundlaget for behandlingen Hvilke data, der kan indsamles
  • 18. Princippet om dataminimering Alene indsamling af personoplysninger, der er relevante og tilstr脱kkelige til opfyldelse af behandlingsform奪let
  • 19. Princippet om opbevaringsbegr脱nsning Personoplysninger m奪 kun opbevares (i personhenf淡rbar form) s奪 l脱nge det er n淡dvendigt af hensyn til behandlingsform奪let Slettepolitikker skal underst淡tte dette
  • 20. Ansvarlighed (accountability) Man skal sige, hvad man g奪r og forklare hvorfor Man skal g淡re, hvad man siger og dokumentere det
  • 21. Behandlingsgrundlag hjemmel? Opfyldelse af kontrakt Overholdelse af en retlig forpligtelse N淡dvendig for beskyttelse af den registreredes vitale interesser Samfundets interesse eller ud淡velse af offentlig myndighed Interesseafvejning Samtykke
  • 22. Om samtykke Samtykker kan tilbagekaldes! Frivilligt, specifikt, informeret, utvetydigt Udtrykkeligt ved f淡lsomme oplysninger Let forst奪eligt Hvis afgivet sammen med andre vilk奪r klart fremh脱vet HUSK dokumentationskravet!
  • 23. Behandling af f淡lsomme oplysninger Behandling som udgangspunkt forbudt, medmindre Udtrykkeligt samtykke N淡dvendig p奪 det arbejdsretlige omr奪de med hjemmel i lovgivning N淡dvendig for beskyttelse af vitale interesser Tydeligvis offentliggjort af den registrede Politiske, religi淡se, faglige foreningers behandling af oplysninger om medlemmer N淡dvendig for at retskrav kan fastl脱gges, g淡res g脱ldende eller forsvares V脱sentlige samfundsinteresser N淡dvendigt p奪 sundhedsomr奪det af personer underlagt tavshedspligt Arkivering i samfundets interesse, eller videnskabelige form奪l m.v.
  • 24. Pligter overfor den registrerede oplysningspligt Privacy policy / privacy notice Pr脱cist og letforst奪eligt sprog Gives for at den registrerede kan vurdere risici ved behandlingen Gives n奪r De indsamles fra den registrerede Inden for rimelig tid, hvis indsamlet fra tredjemand, eller ved f淡rste kommunikation, eller n奪r oplysningerne videregives Kontaktopl ysninger p奪 den datanasva rlige (og DPO)Opbevarin gsperiode Kategorier af modtagere Oplysning om overf淡rsel til tredjemand og safegurads Form奪l og grundlag for behandlin gen Information om de registreredes rettigheder Div. Yderligere oplysninger
  • 25. Overholdelse af den registreredes rettigheder Ret til berigtigelse Ret til ikke at v脱re genstand for profilering Ret til data- portabilitet Ret til sletning Indsigtsret Ret til indsigelse Ret til begr脱nsning af behandling
  • 26. Organisatoriske krav og behandlingssikkerhed Tilstr脱kkelige sikkerhedsm脱ssige og organisatoriske foranstaltninger Underretningspligt ved sikkerhedsbrud (72 timer) Pligt til at udpege DPO Pligt til at f淡re fortegnelse over behandlingsaktiviteter Konsekvensanalyser
  • 27. Outsourcing af databehandling Outsourcing af behandlingsaktiviteter indeb脱rer, at behandlingen af data overlades af en ekstern part Den eksterne part behandler data p奪 den dataansvarliges vegne i henhold til instruks Hvor data overf淡res til et land uden for EU/ES, kan dette kun ske, hvis der er et tilstr脱kkeligt beskyttelsesniveau EU/ES Sikre tredjemande Usikre tredjelande SCC Ad hoc-aftaler USA?
  • 29. Hvem er hvem? Datasubjekt Dataansvarlig Databehandler Underdatabehandler Online trader Cloud Service Provider Datacenter
  • 30. Dataansvarlig og databehandler Dataansvarlig Den, der afg淡r til hvilke form奪l og med hvilke hj脱lpemidler, der m奪 foretages behandling af personoplysninger Databehandler En, der behandler personoplysninger p奪 den dataansvarliges vegne Handler udelukkende efter instruks fra den dataansvarlige og m奪 alene anvende oplysningerne til udf淡relsen af opgaven for den dataansvarlige Som noget nyt kan ogs奪 databehandleren ifalde ansvar
  • 31. Den dataansvarliges forpligtelser Som dataansvarlig har man ansvaret for, at en behandling lever op til GDPR, herunder fx: Generelle behandlingsprincipper Der skal v脱re et retligt grundlag for behandlingen Overholdelse af de registreredes rettigheder Indberetning af eventuelle brud p奪 persondatasikkerheden Ved brug af databehandlere, skal der indg奪s databehandleraftaler Du skal f淡re tilsyn med databehandlere (og underdatabehandlere)
  • 32. Databehandlerforhold? Hvilken ydelse skal leveres? Alene tale om en databehandlersituation, hvis der behandles personoplysninger efter instruks fra en dataansvarlig Hvis levering af ydelsen ikke kr脱ver, at der afgives en instruks om at behandle personoplysninger, vil det ikke v脱re en databehandlersituation. G脱lder ogs奪 selvom den anden part modtager visse personoplysninger, som er n淡dvendige for levering af (hoved)ydelsen.
  • 33. Er din databehandler databehandler?... Hvem tr脱ffer afg淡relse om form奪l og hj脱lpemidler? Kan du bede din databehandler om at slette oplysningerne?
  • 34. Overladelse vs videregivelse Overladelse kan ske frit, mens videregivelse kr脱ver hjemmel og opfyldelse af oplysningspligt Derfor afg淡rende for den dataansvarlige at afklare, hvem en modtager af personoplysninger er En intern person Data kan frit overlades internt (samme CVR-nr.) De generelle principper Autorisation og fortrolighed En databehandler Data kan frit overlades til databehandler, men der skal indg奪s databehandleraftale Databehandleraftalen skal indeholde en instruks Der skal f淡res tilsyn med databehandleren Tredjemand (ny selvst脱ndig dataansvarlig) De generelle behandlingsprincipper (bla. form奪lsbegr脱nsning) Behandlingsgrundlag
  • 35. Videregivelse til ny selvst脱ndig dataansvarlig Videregivelse til en anden selvst脱ndig dataansvarlig Der kr脱ves: Hjemmel til videregivelse Hjemmel til at modtage (behandle) oplysninger (Hvis ikke databehandlerforhold, brug anden hjemmel end samtykke) Modtagende part skal opfylde sin oplysningspligt
  • 36. Databehandler Databehandleraftale Skal v脱re skriftlig og elektronisk Databehandleren skal iv脱rks脱tte sikkerhedsforanstaltninger (art. 32) Databehandleren bist奪r den dataansvarlige med overholdelse af de registreredes rettigheder Brug af underdatabehandlere kr脱ves der skriftlig, forudg奪ende specifik eller generel tilladelse fra den dataansvarlige Underdatabehandleraftalen skal p奪l脱gge underdatabehandleren de samme pligter som databehandleren Databehandleren er ansvarlig over for den dataansvarlige for underdatabehandlerens behandling Databehandleren skal tilbagelevere eller slette alle oplysninger ved oph淡r Databehandleren stiller alle n淡dvendige oplysninger til r奪dighed og tillader audit (listen er ikke udt淡mmende)
  • 38. SoMe Dataansvarlig eller databehandler? Datatilsynets afg淡relse af den 8. november 2013: Myndighed planlagde at oprette en profil p奪 Facebook til brug for pilotprojekt og rettede henvendelse til Datatilsynet om konsekvenser af eventuel brug Myndigheden er dataansvarlig for s奪 vidt ang奪r oplysninger i indbakken Facebook er databehandler (med alt, hvad det medf淡rer)
  • 39. Generelt ved brug af SoMe N奪r privatpersoner anvender SoMe til rent private form奪l, g脱lder GDPR ikke Et post kan dog v脱re tilg脱ngeligt for s奪 mange personer, at det sidestilles med offentligg淡relse, og s奪 g脱lder GDPR Virksomheders brug af SoMe er erhvervsm脱ssig (og indeb脱rer behandling af personoplysninger) og er derfor omfattet af GDPR
  • 40. Brug af Facebook audiences - markedsf淡ringsretligt Elektronisk post (SMS/e-mail) eller anden kommunikation? Samtykkekrav eller krav om mulighed for opt-out Forbrugerombudsmanden Meddelelser i indbakke eller p奪 tidslinje = elektronisk post Ads i newsfeed = Usikkert. Dog formentlig anden kommunikation derfor ikke samtykkekrav, men alene krav om opt-out-mulighed fra hver enkelt annonc淡r Bannerannoncer = ingen af delene
  • 41. Brug af Facebook audiences - persondataretligt Erhvervsm脱ssig benyttelse. Undtagelsen om rent privat form奪l g脱lder ikke Annonc淡ren er dataansvarlig Er der tale om behandling fra Facebooks side? E-mail (hashed) bruges som identifier (og ikke kommunikationsmiddel) og slettes straks derefter. Behandlingen sker s奪ledes p奪 vegne af annonc淡ren. Facebooks vilk奪r n脱ppe tilstr脱kkelige til databehandleraftale Hvad er annonc淡rens behandlingsgrundlag? Samtykke? Interesseafvejningsreglen Markedsf淡ring ikke illegitimt form奪l Anden kommunikation anses for mindre indgribende E-mailadressen er hashed
  • 43. Data protection has to be a of new projects, processes, products, services etc.
  • 44. Forberedelser Skab awareness og databeskyttelseskultur (man kan ikke k淡be sig til compliance!) Data mapping Leverand淡rer (databehandlere) Hvem er de? Hvilke data behandler de? Databehandleraftaler p奪 plads? Dataoverf淡rselsaftaler? Skab overblik over data og risici (Gap-analyse) L脱g plan for mitigering af risici Genbes淡g og l淡bende datagovernance HUSK den risikobaserede tilgang
  • 46. HUSK tilmelding til n脱ste seminar den 17. januar 2018! Tak for i dag!