1 kilde: novi-attorneys · behandling af ikke-følsomme oplysninger - art 6, stk. 1 – behandling...

1 novi-attorneys.com Kilde: www.neurope.eu

ISOBRO den 7. november 2016

https://www.youtube.com/watch?v=RdU--d46D80

PERSONDATAFORORDNINGEN

2 novi-attorneys.com

Fokus

• Baggrund, anvendelsesområde og undtagelser • Definitioner og generelle principper og betingelser for behandling af personoplysninger • Fortegnelse over behandlingsaktiviteter

Persondataforordningen – helikopterpespektiv

• Oplysningspligt og indsigtsret • Ret til berigtigelse • ”Retten til at blive glemt” • Ret til dataportabilitet • Ret til indsigelse og automatiske individuelle afgørelser

De registreredes rettigheder

• Risikovurdering • Konsekvensanalyse • Databeskyttelse gennem design og databeskyttelse gennem indstillinger

Sikkerhed

• ”Short list” Compliance i praksis

novi-attorneys.com 3

Baggrund, anvendelsesområde og undtagelser

Persondataforordningen i helikopterperspektiv



•  EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)

•  ”Forordning”

•  Træder i kraft i EU’s medlemsstater d. 25. maj 2018

•  Da det er en forordning, så direkte virkning i medlemsstaterne – dvs ingen national implementeringslov

•  Forventet øget harmonisering på tværs af EU – ”ens” sanktionering

•  Reglernes fortolkning udestår

•  OG der åbnes op for nationale særregler på en lang række områder




•  Beskyttelse af privatlivets fred

•  Fri udveksling af oplysninger i EU

•  Højt beskyttelsesniveau

•  Bidrage til skabelsen af et område med frihed, sikkerhed og retfærdighed og til økonomiske og sociale fremskridt i EU

•  Styrkelse af fysiske personers velfærd

•  Styrkelse af økonomierne inden for det indre marked

•  Stærk og mere sammenhængende databeskyttelsesramme

•  Effektiv håndhævelse



Formål med persondataforordningen

Persondataforordningen i helikopterperspektiv Baggrund, anvendelsesområde og undtagelser

7 novi-attorneys.com Kilde: Winfried Veil



8 novi-attorneys.com Kilde Justitsministeriet



9 novi-attorneys.com Kilde Justitsministeriet


Forordningens anvendelsesområde, jf. Art 2:

•  Personoplysninger

•  Automatisk databehandling (hel eller delvis)

•  Ikke-automatisk databehandling i registre (struktureret samling af personoplysninger, men ikke sagsmapper eller samlinger af sagsmapper samt deres forsider, som ikke er struktureret efter bestemte kriterier, jf. betragtning 15)

NB: Forordningen gælder ikke for behandling af oplysninger vedrørende juridiske personer – måske opretholdes de nuværende danske regler



Svarer næsten til det vi kender


Art 2

• ”Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register”

• Gælder som udgangspunkt alle offentlige myndigheder, organisationer og erhvervsdrivende, men fortsat ikke aktiviteter af privat karakter

Art 4

• Definitioner – mange af de samme • Dataansvarlig, databehandler, datasubjekt, samtykke, m.fl. Husk at oplysninger om personer i deres erhvervsmæssige kapacitet

fortsat er personoplysninger • Men også mange nye definitioner

• Profilering, pseudonymisering, genetiske data, biometriske data, hovedvirksomhed, foretagende, koncern, m.fl.

Datakategorier

• Stadig følsomme og ikke-følsomme data – genetiske og biometriske data er kun følsomme, hvor de behandles med henblik på identifikation

• Særlige regler for børn mellem 13 og 16




Undtagelser – Art 2, stk. 2

•  Aktiviteter, som falder uden for EU-retten

•  Aktiviteter inden for EU’s fælles udenrigs- og sikkerhedspolitik

•  Aktiviteter af personlig eller familiemæssig karakter (Lindqvist-sagen C-101/01)

•  Anklagemyndighed, politi og domstole

Undtagelser eller særlige regler vedr. specifikke behandlingssituationer – Kapitel IX

•  Ytrings- og informationsfriheden, jf. Art 85

•  Aktindsigt, jf. Art 86

•  CPR-nr., jf. Art 87

•  Ansættelsesforhold, jf. Art 88

•  Arkivformål, videnskabelig, historiske eller statistiske formål



Definitioner og generelle principper



De kendte

•  Personoplysninger

•  Behandling

•  Register

•  Dataansvarlig

•  Databehandler

•  Modtager

•  Tredjemand

•  Samtykke

(tredjeland mangler)

De nye

•  Begrænsning af behandling

•  Profilering

•  Pseudonymisering

•  Brud på persondatasikkerheden

•  Genetiske data

•  Biometriske data

•  Helbredsoplysninger

•  Hovedvirksomhed

•  Repræsentant

•  Foretagende

•  Koncern

•  Bindende virksomhedsregler

•  Tilsynsmyndighed

•  Berørt tilsynsmyndighed

•  Grænseoverskridende behandling

•  Relevant og begrundet indsigelse

•  Informationssamfunds-tjeneste

•  International organisation

Persondataforordningen i helikopterperspektiv Definitioner og generelle principper


Art 4


Personoplysninger – Art 4 (1)

•  Definition: ”Enhver form for information om en identificeret eller identificerbar fysisk person”

•  Identificerbar: ”fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en online-identifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet”

•  FX:

•  oplysninger om fysiske personer – hårfarve, bopæl, alder, arbejdsplads, genetiske oplysninger, billede, uddannelse, mv.,

•  oplysninger om kontaktpersoner hos samarbejdspartnere – fx e-mailadresse el. stilling •  oplysninger om bipersoner, fostre, optagelser fra overvågningskameraer, m.fl.

•  oplysning om en persons tidligere, nuværende og fremtidige fysiske eller psykiske tilstand samt medicinbrug og misbrug af narkotika, alkohol og lignende nydelsesmidler.




Personoplysninger er også:

•  pseudonymiserede oplysninger, dvs oplysninger, som ikke kan henføres til en bestemt fysisk person uden brug af supplerende oplysninger

•  krypterede oplysninger

•  IP-adresser

•  Oplysninger indsamlet via cookies forudsat, at disse alene eller sammen med andre oplysninger kan identificere en bestemt fysisk person




Behandling – Art 4 (2)

•  Definition: ”Enhver aktivitet eller række af aktiviteter med eller uden brug af automatisk behandling, som

personoplysninger eller en samling af personoplysninger gøres til genstand for” •  FX bl.a.:

Indsamling Registrering Brug/udnyttelse Organisering Opbevaring Tilpasning Samkøring Videregivelse Tekstbehandling Søgning Genfinding Formidling Overladelse Begrænsning Systematisering Ændring Tilintetgørelse Sletning




Dataansvarlig – Art 4 (7)

Definition: ”…der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler, der må foretages behandling af oplysningerne.”

- beslutningskompetencen i forhold til formål og hjælpemidler

-  udg.pkt. selve virksomheden, ikke enkeltpersoner

-  analyse baseret på faktiske forhold – ikke formelle titler i parternes aftaler

-  ansvarlig for overholdelse af størstedelen af GDPR

-  kontrol baseret på retlig forpligtelse

-  kontrol baseret på implicit kompetence, fx arbejdsgiver

-  kontrol baseret på faktisk indflydelse, fx opstået kvalificering som dataansvarlig (sag vedr. KL og MS Azure)




Databehandler – Art 4 (8)

Definition: ”…der behandler oplysninger på den dataansvarliges vegne.”

•  Databehandleren er den, som behandlingen af oplysningerne overlades til (direkte eller via remote access)

•  Databehandleren kan ikke disponere over oplysninger til egne formål eller uden den dataansvarliges accept

•  Det er fortsat den dataansvarlige, som er direkte ansvarlig overfor den registrerede, men databehandleren kan ifalde erstatningsansvar overfor de registrerede – kommer vi tilbage til

•  ”Overladelse” er nok fortsat ikke en behandling – selve overladelsen kræver derfor ikke selvstændig hjemmel




Samtykke – Art 4 (11)

Definition: ”…enhver frivillig, specifik, informeret og utvetyding viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling.”

Betragtning 32

”…f.eks. ved en skriftlig erklæring, herunder elektronisk, eller en mundtlig erklæring. Dette kan f.eks. foregå ved at sætte kryds i et felt ved besøg på et websted, ved valg af tekniske indstilling er til informationssamfundstjenester eller en anden erklæring eller handling, der tydeligt i denne forbindelse tilkendegiver den registreredes accept af den foreslåede behandling af vedkommendes personoplysninger. Tavshed, forudafkrydsede felter eller inaktivitet bør derfor ikke udgøre samtykke. Samtykke bør dække alle behandlingsaktiviteter, der udføres til det eller de samme formål. Når behandling tjener flere formål, bør der gives samtykke til dem alle. Hvis den registreredes samtykke skal gives efter en elektronisk anmodning, skal anmodningen være klar, kortfattet og ikke unødigt forstyrre brugen af den tjeneste, som samtykke gives til.”




Samtykke

•  Skal være:

•  frivilligt – uden tvang og baseret på reelt og frit valg, jf. betragtning 42. Videre kan ”klar” skævhed mellem den registrerede og den dataansvarlige bevirke, at samtykke ikke er frivilligt, navnlig hvor den dataansvarlige er en offentlig myndighed, ligesom samtykke ikke er frivilligt, hvis afgivelse er en betingelse for opfyldelse af en kontrakt eller ydelse af en tjeneste, jf. betragtning 43 og Art 7, stk. 4.

•  specifikt – hvilke oplysninger og til hvad

•  informeret – hvem behandler og hvordan

•  utvetydigt (nogen gange udtrykkeligt) – der skal ikke være tvivl om afgivelse eller omfanget af et samtykke

•  Ikke stiltiende eller indirekte - mulighed for udøvelse af kontrol gennem samtykke

•  Ikke krav om skriftlighed, med den dataansvarlige har bevisbyrden, jf. Art 7, stk. 1, så praktisk – ved følsomme oplysninger nok også nødvendigt

•  Den registrerede kan til enhver tid trække sit samtykke tilbage, jf. Art 7, stk. 3, OG man skal oplyse om denne mulighed i forbindelse med indhentelse af samtykke

•  Overvej om oplysningerne skal slettes efter tilbagekaldelse af samtykke, jf. Art 17, stk. 1, litra (b)




• Personoplysningerne skal behandles lovligt, rimeligt og gennemsigtigt i forhold til den registrerede

Lovlighed, rimelighed og gennemsigtighed

• Indsamling skal ske til udtrykkeligt angiven og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål Formålsbegrænsning

• Personoplysningerne skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til formålet/formålene Dataminimering

• Personoplysningerne skal være korrekte og om nødvendigt ajourførte • Ethvert rimeligt skridt til sikring af at personoplysninger, der er urigtige i

forhold til formålet, straks slettes eller berigtiges Rigtighed

• Opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede længere end nødvendigt af hensyn til formålet (sletning) Opbevaringsbegræsning

• Indføre tekniske og organisatoriske foranstaltninger Integritet og fortrolighed



ART

5 A

N S

V A

R L

I G

H E

D


Princippet om ansvarlighed – Art 5

Art 24 indeholder den generelle bestemmelse

om den dataansvarliges ansvar:

•  den dataansvarlige skal gennemføre tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandlingen er i overensstemmelse med forordningen – revisions- og ajourføringspligt

•  kan blandt andet omfatte implementering af databeskyttelsespolitikker



Den dataansvarlige er ansvarlig for og skal kunne påvise at alle principperne

for behandling af personoplysninger indeholdt i

Art 5 overholdes, jf. Art 5, stk. 2


Fortegnelse over behandlingsaktiviteter

24

For dataansvarlige, jf. Art 30, stk. 1 • Fortegnelse over behandlingsaktiviteter

• Den dataansvarliges/den dataansvarliges eventuelle repræsentanters/DPO’ens navn og kontaktoplysninger

• Behandlingens formål

• Kategorier af registrerede og persondata

• Kategorier af modtagere af persondata

• Tredjelandsoverførsler og grundlaget herfor (herunder dokumentation for fornødne garantier i relation til overførsler efter art. 49, stk. 1, 2. afsnit)

• Sletteregler

• Tekniske og organisatoriske sikkerhedsforanstaltninger

For databehandlere, jf. Art 30, stk. 2 • Fortegnelse over alle kategorier af behandlingsaktiviteter

• Databehandlerens/databehandlerens eventuelle repræsentanters

navn og kontaktoplysninger

• Kategorier af databehandling

• Tredjelandsoverførsler og grundlaget herfor (herunder dokumentation for fornødne garantier i relation til overførsler efter art. 49, stk. 1, 2. afsnit)

• Tekniske og organisatoriske sikkerhedsforanstaltninger

novi-attorneys.com

Fortegnelserne skal være skriftlige + elektroniske kan kræves udleveret af tilsynsmyndigheden

Generelle betingelser for behandling af personoplysninger



Persondataforordningen i helikopterperspektiv Generelle betingelser for behandling af personoplysninger

26

Ansvarlighed

Behandlingshjemmel

Øvrige regler

Artikel 5

Særlige kategorier af personoplysninger

•  Race eller etnisk baggrund

•  Politisk, religiøs eller filosofisk overbevisning

•  Fagforeningsmæssigt tilhørsforhold

•  Genetiske eller biometriske data hvis behandling med henblik på identifikation

•  Helbredsoplysninger

•  Seksuelle forhold / seksuel orientering

Almindelige personoplysninger

•  Alle andre oplysninger end de særlige

særlige kategorier af oplysninger, herunder fotografier, jf. betragtning 51

Persondataforordningen i helikopterperspektiv Generelle betingelser for behandling af personoplysninger


NB: Artikel 10 – behandling af personoplysninger vedrørende straffedomme og lovovertrædelser kun under kontrol af offentlig myndighed eller med hjemmel i lov eller EU-ret

Overladt til medlemsstaterne at regulere behandling af CPR-nummer, jf. Art 87


Behandling af ikke-følsomme oplysninger - Art 6, stk. 1 – behandling er lovlig, såfremt ét af nedenstående forhold gør sig gældende:

a)  Samtykke til til behandling til et eller flere formål

Betingelser for samtykke, jf. Art 7:

•  frivilligt – specifikt – informeret - utvetydigt

•  Dataansvarlig skal kunne påvise, at der er givet samtykke, dvs. dokumentationsforpligtelse

•  Ved skriftligt samtykke, så skal selve samtykket klart kunne skelnes fra ”de andre forhold” (f.eks. ikke indeholdt i almindelige betingelser for brug af netbank, kundeaftaler, kundeklubber, osv.)

•  Samtykke til forskellige / hver enkelt behandlingsaktivitet

•  Kan altid trækkes tilbage

•  I forhold til vurdering af frivillighed, så lægges der vægt på, om opfyldelse af en kontrakt, herunder om en tjenesteydelse, er gjort betinget af samtykke til behandling af personoplysninger, som ikke er nødvendig for opfyldelse af kontrakten.




Hvad med eksisterende samtykker?

”…Direktiv 95/46/EF bør ophæves ved denne forordning. Behandling, der allerede er indledt på datoen for denne forordnings anvendelse, bør bringes i overensstemmelse med forordningen senest to år efter ikrafttrædelsen heraf. Når behandling er baseret på samtykke i henhold til direktiv 95/46/EF, er det ikke nødvendigt, at den registrerede på ny giver sit samtykke, såfremt den måde, som samtykket er givet på, er i overensstemmelse med betingelserne i denne forordning; i så fald kan den dataansvarlige fortsætte behandlingen efter denne forordnings anvendelsesdato…” jf. betragtning 171

BØRN

Betingelser for børns samtykke i forhold til informationssamfundstjenester, jf. Art 8 krav om forældresamtykke eller -godkendelse, hvis barnet er under 16 år + den dataansvarlige skal ”gøre sig rimelige bestræbelser på at kontrollere”, at indehaveren af forældremyndigheden har givet eller har godkendt samtykket.




Art 6, stk. 1 (fortsat) – behandling er lovlig, såfremt ét af nedenstående forhold gør sig gældende:

Behandling er nødvendig af hensyn til:

b)  Opfyldelse af aftale eller gennemførelse af foranstaltninger på den registreredes anmodning forud for indgåelse af aftale (fx værdipapirhandel, arbejdsgiver/arbejdstager forhold)

c)  Retlig forpligtelse (fx indberetning til Skat) – BEMÆRK Art 6, stk. 2 og 3 – mulighed for at MS kan opretholde eller indføre specifikke bestemmelser ved at fastsætte ”mere præcist specifikke krav til behandling og andre foranstaltninger” – grundlaget for behandling skal fremgå af EU-retten eller national ret

d)  Vitale interesser (medicinsk nødssituation)

e)  Opgave i samfundets interesse eller offentlig myndighedsudøvelse – BEMÆRK Art 6, stk. 2 og 3 – mulighed for at MS kan opretholde eller indføre specifikke bestemmelser ved at fastsætte ”mere præcist specifikke krav til behandling og andre foranstaltninger” - grundlaget for behandling skal fremgå af EU-retten eller national ret

f)  ”Legitim interesse” hos dataansvarlig eller 3. mand, mm. den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, går forud herfor, navnlig hvis den registrerede er et barn (denne behandlingshjemmel gælder IKKE offentlige myndigheder, jf. Art 6, stk. 1, litra (f), sidste led)




Art 6, stk. 1, litra (f) – interesseafvejningsreglen

”Legitime interesser”, jf. betragtningerne 47-49:

Forudsætter ”nøje vurdering af, om en registreret på tidspunktet for og i forbindelse med indsamling af personoplysningerne med rimelighed kan forvente, at behandling med dette formål kan finde sted.”

Eksempler:

•  Kunde hos dataansvarlig (”client”)

•  Gør tjeneste under (”in the service of the controller”)

•  Behandling til direkte markedsføring

•  Videregivelse indenfor koncerner til interne administrative formål af kunders og medarbejderes personoplysninger

•  Behandling i forbindelse med sikkerhedstiltag




Behandling af særlige kategorier af personoplysninger – Art 9

Hovedregel: FORBUD, jf. Art 9, stk. 1

Undtagelse: ikke forbudt, hvis et af nedenstående forhold gør sig gældende, jf. Art 9, stk. 2:

a)  Udtrykkeligt samtykke til et eller flere specifikke formål

b)  Nødvendig behandling på det arbejds-, sundheds- eller socialretlige område og, der er hjemmel i lov eller kollektiv overenskomst

c)  Vitale interesser

d)  Politiske, filosofiske, religiøse eller fagforeningsmæssige sammenslutningers behandling af oplysninger om tidligere eller eksisterende medlemmer eller om andre med hvem sammenslutningen har regelmæssig kontakt. Videregivelse forudsætter samtykke

e)  Oplysningerne er tydeligvis offentliggjort af den registrerede selv

f)  Behandling er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares, eller når en domstol handler i egenskab af domstol




Behandling af særlige kategorier af personoplysninger – Art 9 - fortsat

Hovedregel: FORBUD, jf. Art 9, stk. 1

Undtagelse: ikke forbudt, hvis et af nedenstående forhold gør sig gældende, jf. Art 9, stk. 2:

g)  Nødvendig af hensyn til væsentlige samfundsinteresser med hjemmel i lov/EU-retten, navnlig – jf. betragtning 52 – behandling indenfor ansættelsesret, socialret, herunder pensioner og med henblik på sundhedssikkerhed, overvågning og varsling, forebyggelse eller kontrol af overførbare sygdomme og andre alvorlige trusler mod sundheden, sundhedsformål, herunder folkesundhed og forvaltning af sundhedsydelser. Smh. også med betragtningerne 55 og 56

h)  Nødvendig ”med henblik på forebyggende medicin eller arbejdsmedicin” i forhold til arbejdstageres erhvervsevne, medicinsk diagnose, social- og sundhedsomsorg med hjemmel i lov/EU-retten eller hvor behandling foretages af ”fagperson” underlagt tavshedspligt

i)  Nødvendig af hensyn til samfundsinteresser på folkesundhedsområde med hjemmel i lov/EU-retten, smh. med betragtning 54

j)  Nødvendig i samfundet interesse til arkivformål, videnskabelig eller historiske forskningsformål eller statiske formål

Art 9, stk. 4 – adgang for medlemsstaterne til indførelse af yderligere betingelser/begrænsninger for behandling af genetiske data, biometriske data eller helbredsoplysninger




Art 6, stk. 4 – behandling til ”andet formål” – lader til også at gælde særlige kategorier af oplysninger

•  Art 6, stk. 4 bringes kun i anvendelse, hvis behandlingshjemmel til ”andet formål” IKKE er samtykke, national ret eller EU-ret, jf. betragtning 50

•  Vurdering, som skal foretages af den dataansvarlige, med henblik på at få klarlagt om det ”andet formål” er foreneligt med det formål, som personoplysningerne oprindeligt blev indsamlet til – hvis foreneligt, så ikke krav om ”ny” hjemmel, jf. betragtning 50

•  Den dataansvarlige skal inddrage følgende i vurderingen: a)  enhver forbindelse mellem det formål, som personoplysningerne er indsamlet til, og formålet med den påtænkte viderebehandling

b)  den sammenhæng, hvori personoplysningerne er blevet indsamlet, navnlig med hensyn til forholdet mellem den registrerede og den dataansvarlige

c)  personoplysningernes art, navnlig om særlige kategorier af personoplysninger behandles eller oplysninger vedr. straffedomme/lovovertrædelser

d)  den påtænkte viderebehandlings mulige konsekvenser for de registrerede

e)  tilstedeværelse af fornødne garantier, fx kryptering eller pseudonymisering

•  Hvis der er tale om mulige strafbare handlinger eller trusler mod offentlig sikkerhed, som den dataansvarlige påviser og videresender til en kompetent myndighed, så vil dette være i den dataansvarliges legitime interesse, jf. betragtning 50



Den registreredes rettigheder – oversigt – kapitel III

•  Oplysningspligt over for den registrerede, jf. Art 13 og 14

•  Indsigtsret, jf. Art 15

•  Ret til berigtigelse, jf. Art 16

•  Ret til sletning, jf. Art 17

•  Ret til begrænsning af behandling, jf. Art 18

•  Dataansvarliges underretningspligt vedr. berigtigelse, sletning eller begrænsning af behandling, jf. Art 19

•  Ret til dataportabilitet, jf. Art 20

•  Indsigelsesret over for behandlinger baseret på Art 6, stk. 1, litra (e) og (f), og ubetinget indsigelsesret mod behandling til direkte markedsføring, jf. Art 21

•  Ret til indsigelse mod automatiserede afgørelser, herunder profilering, jf. Art 22

Mulighed for begrænsning af rettighederne i kapitel III, jf. Art 23



Indsamling hos den registrerede selv, jf. Art 13

Følgende oplysninger skal gives på indsamlingstidspunktet, mm. den registrerede allerede er bekendt hermed:

•  Identitet/kontaktoplysninger på dataansvarlig, evt. repræsentant og DPO

•  Formål(ene) med behandlingen og retsgrundlaget

•  Legitime interesser hvis retsgrundlag er Art 6, stk. 1, litra (f)

•  Modtagere eller kategorier af modtagere

•  Om oplysningerne overføres til tredjelande/en international organisation + retsgrundlaget herfor

•  Hvor længe oplysningerne behandles eller kriterier til fastlæggelse heraf

•  Den registreredes rettigheder

•  Retten til at tilbagekalde samtykke

•  Retten til at klage til tilsynsmyndigheden

•  Hvorvidt det er et lovkrav eller et krav baseret på en kontrakt, at den registrerede afgiver personoplysninger

•  Forekomsten af automatiserede afgørelser, herunder profilering, samt opbygning og betydningen heraf

Oplysningspligt


Hvis der skal ske viderebehandling til et andet formål, så ”ny”

oplysningspligt


Indsamling andre steder fra end hos den registrerede selv, jf. Art 14

Mm. den registrerede allerede er bekendt hermed gives samme oplysninger som i hht. Art 13 + oplysninger om:

•  De berørte kategorier af personoplysninger

•  Hvilken kilde oplysningerne hidrører fra og om de stammer fra offentligt tilgængelig kilder

Oplysninger skal gives:

•  Senest inden for en måned efter indsamling

•  Senest på tidspunktet for første kommunikation med den registrerede, hvis det er det, oplysningerne skal bruges til, ELLER

•  Senest på tidspunktet for videregivelse første gang.

Oplysningspligt


Hvis der skal ske viderebehandling til et andet formål, så ”ny” oplysningspligt

De registreredes rettigheder Oplysningspligt - undtagelser

39

Art 13 og 14

• Den registrerede er allerede bekendt med oplysningerne – alle oplysningerne…?

Art 14, stk. 5

• Underretningen er umulig eller uforholdsmæssig vanskelig

• Underretning vil gøre det umuligt eller i alvorlig grad hindre opfyldelse af formålene med behandling

•  Indsamling eller videregivelsen er udtrykkeligt fastsat i EU-ret eller national ret

•  Tavshedspligt

novi-attorneys.com


Den registreredes indsigtsret, jf. Art 15 – den registreredes ret til på anmodning at få svar på, om oplysninger vedr. vedkommende behandles samt at få adgang til oplysningerne + til følgende:

•  Formål(ene) med behandlingen og retsgrundlaget

•  Kategorier af personoplysninger

•  Modtagere eller kategorier af modtagere

•  Hvor længe, oplysningerne behandles eller kriterier til fastlæggelse heraf

•  Den registreredes rettigheder til berigtigelse, sletning, begrænsning og indsigelse

•  Retten til at klage til tilsynsmyndigheden

•  Enhver tilgængelig information om, hvor oplysningerne stammer fra, hvis de ikke er indsamlet hos den registrerede selv

•  Forekomsten af automatiserede afgørelser, herunder profilering, samt opbygning og betydningen heraf

•  Om oplysningerne overføres til tredjelande/en international organisation + fornødne garantier i hht. Art 46

Den dataansvarlige skal udlevere kopi – kan kræve rimelig betaling for yderligere kopier. Elektroniske anmodninger besvares elektronisk

Indsigtsret



Den dataansvarlige har en slettepligt, jf. Art 17, hvis:

•  Ikke længere nødvendigt at behandle oplysningerne

•  Samtykke trækkes tilbage, og der er ikke et andet behandlingsgrundlag

•  Begrundet indsigelse mod behandling i medfør af Art 6, stk. 1, litra (e) eller (f)

•  Indsigelse mod behandling til direkte markedsføring + profilering i dette øjemed

•  Ulovlig behandling af personoplysninger

•  Følger af national ret eller EU-ret

•  Vedrører behandling af oplysinger baseret på samtykke fra barn

Ovenstående gælder ikke, såfremt: 1) informations/ytringsfrihed, 2) retlig forpligtelse/opgave i samfundets interess, 3) folkesundhed, 4) arkivformål mv. 5) nødv. for at et retskrav kan fastlægges, gøres gældende eller forsvares.

OBS: den dataansvarlige skal i rimeligt omfang foranstalte sletning i videre led, jf. Art 17, stk. 2

Ret til sletning - ”retten til at blive glemt”



Den registreredes ret til at få sine oplysninger ”med sig”, jf. Art 20, hvis:

•  behandlingen er baseret på samtykke eller kontraktopfyldelse, og

•  behandlingen foretages automatisk

Retten til dataportabilitet omfatter kun oplysninger, som den registrerede ”selv” har givet til den dataansvarlige

Hvis teknisk muligt, så omfatter retten til dataportabilitet en ret til at få oplysningerne ”transmitteret” direkte fra den dataansvarlige til en anden

Ret til dataportabilitet



Ret til ikke at være genstand for en afgørelse, som udelukkende baseres på automatisk behandling, herunder profilering, med retsvirkning for eller tilsvarende påvirkning, jf. Art 22

”Den registrerede bør have ret til ikke at blive gjort til genstand for en afgørelse, der kan omfatte en foranstaltning, som evaluerer personlige forhold vedrørende vedkommende, og som alene bygger på automatisk behandling, og som har retsvirkning eller som på tilsvarende vis betydeligt påvirker den pågældende, såsom et automatisk afslag på en onlineansøgning om kredit eller e-rekrutteringsprocedurer uden nogen menneskelig indgriben.

En sådan behandling omfatter »profilering«, der består af enhver form for automatisk behandling af personoplysninger, der evaluerer de personlige forhold vedrørende en fysisk person, navnlig for at analysere eller forudsige forhold vedrørende den registreredes arbejdsindsats, økonomisk situation, helbred, personlige præferencer eller interesser, pålidelighed eller adfærd eller geografiske position eller bevægelser, når den har retsvirkning for den pågældende eller på tilsvarende vis betydeligt påvirker den pågældende….”

Betragtning 71

Automatiske afgørelser, herunder profilering



Ret til ikke at være genstand for en afgørelse, som udelukkende baseres på automatisk behandling, herunder profilering, med retsvirkning for eller tilsvarende påvirkning, jf. Art 22 (fortsat)

Udgangspunkt: FORBUD

Undtagelser:

a)  Nødvendig for indgåelse eller opfyldelse af en kontrakt mellem den registrerede og en dataansvarlig

b)  Hjemlet i national lov eller EU-ret

c)  Baseret på samtykke

a) og c) forudsætter ret til menneskelig indgriben fra dataansvarlig + ret for registreret til at fremkomme med sine synspunkter og til at bestride afgørelsen

Må ikke baseres på særlige kategorier af oplysninger mm samtykke haves eller nødvendig af hensyn til væsentlige samfundsinteresser

Automatiske afgørelser, herunder profilering


Risikovurdering, konsekvensanalyse og privatlivsbeskyttelse gennem design og indstillinger

Sikkerhed


Passende tekniske og organisatoriske

sikkerhedsforanstaltninger

Risikoanalyse Hvis høj risiko, så…

Konsekvensanalyse

Foranstaltninger til afhjælpning af risici

og høring/godkendelse

Løbende opfølgning

•  Art 32 gælder både for dataansvarlige og databehandlere

•  Alle behandlinger forudsætter en risikoanalyse

•  Der skal indføres passende tekniske og organisatoriske foranstaltninger under hensyntagen til:

•  Det aktuelle tekniske niveau og gennemførelsesforanstaltningerne

•  Behandlingens karakter, omfang, kontekst og formål og risikoen for den registreredes rettigheder og frihedsrettigheder

Sikkerhed Risikovurdering, konsekvensanalyse og privatlivsbeskyttelse gennem design og indstillinger


Sikkerhed Risikovurdering, konsekvensanalyse og privatlivsbeskyttelse gennem design og indstillinger

47

Risikoen for den registreredes rettigheder og frihedsrettigheder ved • Hændelig eller ulovlig

tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er videregivet, opbevaret eller på anden måde behandlet

Eksempler •  Pseudonymisering og kryptering •  Vedvarende fortrolighed,

integritet, tilgængelighed og robusthed

•  Reetablering •  Procedure for regelmæssig

afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger

Hvad betyder det så? • Sikkerheden skal afpasses i forhold til den risiko, behandlingen involverer - måske nok noget af det vi kender fra sikkerheds-bekendtgørelsen: • Organisatoriske forhold og fysisk

sikring • Administration af adgangskontrol-

ordninger og autorisationsordninger samt kontrol med autorisationer

• Behandling og destruktion af ind- og uddatamateriale samt brug af medier/devices

• Brug af mobile arbejdspladser • Logning

novi-attorneys.com

Hvi

s be

hand

linge

n er

ris

ikab

el s

å ko

nsek

vens

anal

yse,

jf.

Art

35

Sikkerhed

Konsekvensanalyse – gælder for dataansvarlige, men databehandlere skal bistå

Den dataansvarlige skal ved behandlinger (særligt ved ny teknologi), som ud fra karakter, omfang, sammenhæng, og

formål medfører en høj risiko for individets rettigheder, udføre en konsekvensanalyse forud for behandlingen

•  Særligt ved

•  Systematisk og omfattende evaluering af personlige aspekter baseret på automatisk behandling (herunder profilering) og som danner grundlag for beslutninger, som har juridiske konsekvenser for individet, eller på lignende vis har virkning for individet

•  Større mængder følsomme oplysninger, biometriske oplysninger eller oplysninger om kriminelle domme og lovovertrædelser

•  Overvågning af offentligt tilgængeligt områder, særligt videoovervågning

•  Skal genbesøges ved ændring i risikobilledet



Sikkerhed

Den skal som minimum indeholde:

•  En systematisk beskrivelse af behandlingerne og deres formål

•  En vurdering af nødvendigheden og proportionaliteten af behandlingen

•  Analyse af identificerede risici for datasubjektets rettigheder og frihedsrettigheder

•  Kortlægning af de foranstaltninger, der er nødvendige for at afhjælpe disse risici, samt

•  Garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelsen af personoplysninger og påvise compliance med forordningen – databeskyttelse gennem design og indstillinger…



Hvad går en konsekvensanalyse ud på?

Overvejelser: •  antallet af datasubjekter •  følsomme oplysninger •  risiko for spredning til uvedkommende, sammenstilling af data uden

individets kendskab •  skader ved offentliggørelse/videregivelse til uvedkommende

Korrigerende foranstaltninger: •  ændre sammenhæng omkring visse personoplysninger •  beskyttelse af personoplysninger •  brug af sikkerhedsstandarder, fysisk adgangskontrol eller logning •  sikre ajourføring af data •  sletning eller anonymisering, når der ikke længere er brug for data

Sikkerhed

Gennem design

•  Ud fra det aktuelle tekniske niveau, karakter, omfang, sammenhæng, og formål pligt for dataansvarlig til at sikre, at der er teknisk og organisatorisk understøttelse af overholdelsen af forordningens krav. Det vi i praksis sige:

•  databeskyttelse skal tænkes ind i udviklingen af softwareløsninger

Gennem indstillinger

•  Formålet er at hindre over-behandling

•  Den dataansvarlige skal indføre passende tekniske og organisatoriske foranstaltninger til at sikre at der i udgangspunktet kun behandles nødvendige personoplysninger. Overvejelser:

•  privatlivsindstillinger, indsamlingens omfang, behandlingens udstrækning, behandlingens tidsmæssige udstrækning, opbevaringsperioden og tilgængeligheden



Databeskyttelse gennem design og indstillinger

Sikkerhed

Hvem har ansvaret…?

Forordningens betragtning 78:

”…Når producenter af produkter, tjenester og applikationer udvikler, designer, udvælger og bruger applikationer, tjenester og produkter, der er baseret på behandling af personoplysninger eller behandler personoplysninger, for at udføre deres opgaver, bør de tilskyndes til at tage højde for retten til databeskyttelse i forbindelse med udvikling og design af sådanne produkter, tjenester og applikationer og til under behørig hensyntagen til det aktuelle tekniske niveau at sørge for, at de dataansvarlige og databehandlerne er i stand til at opfylde deres databeskyttelsesforpligtelser. Der bør også tages hensyn til principperne om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger i forbindelse med offentlige udbud.”



Proces

Compliance i praksis


1 • Etablering af projektorganisation

2 • Overvej spørgeskemabaseret for-analyse

3

• Projektplanlægning og scope – forordningen gælder som udg. pkt. for alle behandlingsaktiviteter - ”the full monty”

4

• Persondata due diligence

5 • Gap analyse – juridisk og teknisk

6 • Forberede de anbefalede/vedtagne nye tiltag

7 •  Implementering og launch

8 • Vedligehold compliance

Compliance i praksis Igangsætning og proces


Ledelsesforankring Udpege styregruppe Allokering af nødvendige ressourcer internt, hænder, økonomi, systemmæssigt – eksterne rådgivere

Initial afdækning af væsentlige risikoområder

Tidsplan og projektforløb

Dataansvarlige/databehandlere, kategorier af persondata, formål, videregivelse af data, iagttagelse af regler vedr. registreredes rettigheder, transparens, sikkerhedsmæssige aspekter - it-mæssige såvel som organisatoriske, særlige risici, analyse af datastrømme, relevante it-systemer, gennemgang af databehandleraftaler, m.v.

Identificer gaps i eksisterende complianceniveau baseret på gennemgang af indsamlet materiale. Tilrettelæggelse af dokumentation og strategier mv. for fremtidig compliance,. Vurder/foretag risikoanalyser, overveje nødvendigheden af konsekvensanalyser. Anbefalinger for fremadrettede tiltag Forretningsgange, politikker, ansættelseskontrakter, DPO, dokumentation, konsekvensanalyser, sikker-hedsberedskab, mv. Forhandlinger med kunder- og leverandører, nye databehandleraftaler, samtykker, m.v.

Udrulning i organisationen – træningsprogram og implementer de nye forretningsgange og procedurer

Procedure til dokumentation af løbende overholdelse (revision), uddannelse, beredskab til kontrolbesøg, m.v.

Nyttige links


•  Datatilsynets hjemmeside om GDPR

http://www.dbreform.dk/

•  DI’s vejledning til implementering af persondataforordningen i danske virksomheder + vejledning til PIA

http://di.dk/Virksomhed/Produktion/IT/itsikkerhed/personoplysninger/Pages/Vejledningompersondataforordningen.aspx

http://di.dk/Virksomhed/Produktion/IT/itsikkerhed/personoplysninger/Pages/DIsskabelonforPrivacyImpactAssessment.aspx

•  UK Information Commissioner’s PIA vejledning

https://ico.org.uk/media/for-organisations/documents/1595/pia-code-of-practice.pdf

•  Justitsministeriet – ikke muligt ”kun” at abonnere på nyheder fra databeskyttelseskontoret

http://www.justitsministeriet.dk/abonn%C3%A9r/abonn%C3%A9r-p%C3%A5-nyhedsbreve-og-pressemeddelelser

•  EU Kommissionen

http://ec.europa.eu/justice/data-protection/reform/index_en.htm

•  Artikel 29 Gruppen

http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/index_en.htm

•  Europæisk tilsynsførende for databeskyttelse

https://secure.edps.europa.eu/EDPSWEB/

Spørgsmål


+45 2670 7379

[email protected]

novi-attorneys.com

56

Tanja Blichfeldt Johnsen

novi-attorneys.com

1 kilde: novi-attorneys · behandling af ikke-følsomme oplysninger - art 6, stk. 1 – behandling...

Documents