Databeskyttelsesforordningen i uddannelsessektoren

19. APRIL 2018

Side 1

v/Martin Sønnersgaard, advokat, senior manager

Dagsorden

1) Det nye retlige landskab

2) Ny dom om personoplysninger i eksamenskontekst

3) Behandling af personoplysninger om unge under 18

år

4) Samtykke og interesseafvejningsreglen

5) Sletning

6) Brud på persondatasikkerheden

19. APRIL 2018

Side 2

Det nye retlige landskab

› Databeskyttelsesforordningen bliver det primære retsgrundlag

› Persondataloven (og bekendtgørelserne udstedt i medfør af den) ophæves fra

den 25. maj 2018

› Forordningen er almengyldig. Den er bindende i alle enkeltheder og gælder

umiddelbart i Danmark og de andre medlemsstater.

› Ny dansk lov om databeskyttelse – 3. behandling 3. maj 2018

› Domme fra EU-domstolen og andre EU-retlige kilder

19. APRIL 2018

Side 3

bruges i stedet

Personoplysninger i eksamenskontekst – sag C-434-16, Nowak

› Indholdet af en eksamensbesvarelse kan anses som personoplysninger, fordi indholdet af besvarelsen afspejler

eksaminandens "viden og kompetence inden for et givent område samt i givet fald hans tankegang, dømmekraft og kritiske

sans." (pr. 37)

› Hvis prøven skrives i hånden, indeholder besvarelserne tillige oplysninger vedrørende hans håndskrift. (pr. 37)

› Eksaminators rettelser og kommentarer til eksamensbesvarelsen er også personoplysninger (om både deltageren og

eksaminatoren). (pr. 44)

› Ret til indsigt omfatter elevens eksamensbesvarelse samt eksaminators rettelser og kommentarer hertil (pr. 51)

› …men ikke eksamensspørgsmål, da disse, som udgangspunkt, ikke indeholder personoplysninger (pr. 58).

› Og ikke ret til efterfølgende berigtigelse af ”forkerte” besvarerelser ☺ (pr. 52).

› Bredt personoplysningsbegreb!

19. APRIL 2018

Side 4

Behandling af personoplysninger om unge under 18 år

› Hvornår er man persondataretligt ”myndig” og kan

samtykke til behandling af personoplysninger?

› 15 år – men individuelt modenhedskriterium, jf. Datatilsynets

afgørelse i j.nr. 2003-321-0243 (Vedrørende oplysningspligt i

forhold til børn og unge)

› Hvem kommunikerer vi med – f.eks. ift.

underretningspligten?

› HR: Meddelelse skal gives til børn og unge selv, når de er fyldt 15

år.

› Der skal som altovervejende hovedregel også gives meddelelse til

forældremyndighedsindehaveren.

› U: Sagen er af en sådan privat karakter for den mindreårige, at dette

kan begrunde undladelse af at give meddelelse til

forældremyndighedsindehaveren.

19. APRIL 2018

Side 5

bruges i stedet

Samtykke (art. 7)

› Et samtykke skal være en frivillig, specifik, informeret og utvetydig viljestilkendegivelse, jf. art. 4, nr. 11

› Dataansvarlige skal – som hidtil – kunne påvise, at datasubjektet har samtykket til behandlingen

› Kravene til bevis for samtykke skærpes, jf. utvetydighed

› Samtykket skal være adskilt fra øvrige tekst

› Det er en gyldighedsbetingelse for et samtykke, at der forinden er informeret om muligheden for at trække samtykket

tilbage. Det skal være lige så let at trække tilbage som at give det.

› Kan man bruge de ”gamle” samtykker fremadrettet?

6. SEPTEMBER 2016

6

Nogle eksempler…

› Udsendelse af materiale til studerende

› Et uddannelsessted må ikke udlevere studerendes navne og

adresser til brug for udsendelse af informations- eller

markedsføringsmateriale uden de studerendes samtykke.

› Udsendelse af informationsmateriale om diverse studie- og

erhvervsrelevante tiltag til de studerende kan ske uden

samtykke. Der må dog ikke udsendes egentligt

markedsføringsmateriale.

› Elevoplysninger på internettet

› Offentliggørelse af oplysninger om elever i form af navne,

portrætbilleder, klassebilleder eller fritidsinteresser på skolens

hjemmeside må kun ske, hvis der forinden er indhentet

samtykke fra hver enkelt elev.

› Situationsbilleder vs. portrætbilleder

6. SEPTEMBER 2016

7

Nogle eksempler…

› Kontrol af de studerendes internetbrug, f.eks. i form af

logning

› Kan ske uden samtykke, hvis hensynet er at sikre en etisk

forsvarlig brug af internettet, herunder sikre, at der ikke

downloades pornografisk materiale o.lign.

› Forudsætning at de studerende informeres på forhånd om

kontrollen

› (Rt. j.nr. 1999-210-189 (RÅ 1999, s. 48-49)

› Videregivelse af karakterer etc.

› En uddannelsesinstitution kan normalt udlevere oplysninger

om, hvilke elever der går på skolen (klasselister) uden

samtykke

› Men som altovervejende hovedregel ikke oplysninger om

karakterer o.lign.

› (Retsudvalgets spm. nr. 57 til lovforslag L 44 af 8. oktober

1998)

6. SEPTEMBER 2016

8

Samtykke – anbefalinger

19. APRIL 2018

Side 9

› Samtykket er sårbart: Overvej, om I kan bruge andet

grundlag end samtykke

› Hvis den registrerede tilbagekalder et samtykke, så

overvej, om I kan bruge andre behandlingshjemler

› Hvis I skal bruge samtykke, så overvej, om samtykket er

gyldigt

› Overvej at informere om muligheden for tilbagekaldelse

af samtykket inden den 25. maj 2018

› Husk at I skal kunne bevise, at I har fået et gyldigt

samtykke

Interesseafvejningsreglen

› Databeskyttelsesforordningens artikel 6, stk. 1, litra f -

behandling er nødvendig for, at den dataansvarlige eller en

tredjemand kan forfølge en legitim interesse

(interesseafvejningsreglen)

› Stor betydning i praksis – navnlig på HR-området

› Men: Gælder ikke for offentlige myndigheder (artikel 6, stk. 1,

litra f, 2. afsnit)

› Hvad gør man fremadrettet?

6. SEPTEMBER 2016

10

Interesseafvejningsreglen (fortsat)

› Bet. 1565, s. 134 f: Vil formentlig ikke få den store betydning i

praksis – kan bruge andre hjemler, f.eks. artikel 6, stk. 1, litra c

(retlig forpligtelse) eller artikel 6, stk. 1, litra e (opgave i

samfundets interesse/offentlig myndighedsudøvelse)

› Ny interesseafvejningsregel i databeskyttelseslovudkastets § 12,

stk. 2, af relevans på HR-området

6. SEPTEMBER 2016

11

Sletning – hvornår skal man slette?

› Nødvendighed – artikel 5, stk. 1, litra e

› Pr. 39: ”For at sikre, at personoplysninger ikke opbevares

i længere tid end nødvendigt, bør den dataansvarlige

indføre tidsfrister for sletning eller periodisk

gennemgang.” => Slettepolitik.

› Slettehensyn

› Pligt til at gemme / særlige regler om sletning

› Arkivlovgivning

› Bogføringsloven

› Tjenestemandsloven (pensionsoplysninger etc.)

› Tv-overvågningsloven – max 30 dages opbevaringsperiode

› Øvrig særlovgivning på uddannelsesområdet

› Et eksempel…

› Skriftlig eksamensbesvarelse samt eksaminators rettelser

skal slettes, når først prøven er endelig afsluttet og ikke

længere kan anfægtes, således at besvarelsen samt

rettelserne og kommentarerne har mistet enhver

beviskraft, jf. C-434/16, Nowak, (pr. 55).

19. APRIL 2018

Side 12

Hvad vil det sige at slette effektivt?

› Sletning skal være effektiv og uigenkaldelig

› Også sletning af backup, hvis teknisk muligt

› Overvej effektiv anonymisering som alternativ til sletning

› Husk behandlingssikkerheden – destruktion af

lagringsmedier

› Husk tilsyn med databehandlere, herunder om sletning

› Antagelse af en ekstern leverandør til sletning kræver en

databehandleraftale med den pågældende leverandør efter

databeskyttelsesforordningens regler herom

19. APRIL 2018

Side 13

Brud på persondatasikkerheden

19. APRIL 2018

Side 14

Hvor kan det gå galt?

› Menneskelige fejl

› Sender e-mails uden kryptering eller til forkert modtager,

glemmer USB-sticks, lader papirer flyde i printerrummet

› Organisatoriske fejl

› Glemmer at fastsætte eller opdatere interne retningslinjer,

manglende kontrol med databehandlere, manglende

undervisning eller instruktion af medarbejdere

› Systemmæssige fejl

› Utilstrækkelig sikkerhed i IT-systemer, f.eks. ikke mulighed for

at slette effektivt, manglende kryptering, utilstrækkelig

adgangskontrol, for bred adgang til oplysninger etc.

19. APRIL 2018

Side 15

Hvilke pligter har vi?

› Persondataforordningen art. 33, stk. 1:

› ”Ved brud på persondatasikkerheden anmelder den

dataansvarlige uden unødig forsinkelse og om muligt senest 72

timer, efter at denne er blevet bekendt med det, bruddet på

persondatasikkerheden til den tilsynsmyndighed, som er

kompetent…”

› Persondataforordningen art. 34, stk. 1:

› ”Når et brud på persondatasikkerheden sandsynligvis vil

indebære en høj risiko for fysiske personers rettigheder og

frihedsrettigheder, underretter den dataansvarlige uden unødig

forsinkelse den registrerede om bruddet på

persondatasikkerheden.”

19. APRIL 2018

Side 16

Eksempler på brud

› En medarbejder har adgang til en sag, som den

pågældende ikke bør have adgang til

› En medarbejder sender en e-mail med fortrolige eller

følsomme personoplysninger til den forkerte

› En HR-medarbejder sender ved en fejl lønsedler og

ansættelseskontrakt til en forkert medarbejder i

organisationen.

› En computer med ansættelsessager bliver stjålet

19. APRIL 2018

Side 17

Anbefalinger til intern implementering

› Fastsæt interne retningslinjer for konstatering, stop,

evaluering og underretning af brud – overholdelse af

72 timers-fristen

› Fastsæt krav til leverandører i databehandleraftaler og

underdatabehandleraftaler om bistand ved

sikkerhedsbrud – og betaling

› I skal føre et internt dokumentationsregister over brud

– artikel 33, stk. 5

19. APRIL 2018

Side 18

bruges i stedet

19. APRIL 2018

Side 19

Læs mere på www.kammeradvokaten.dk/dpo

✓Redskaber til at vedligeholde persondataretlig compliance

efter den 25. maj 2018

✓Lejlighed til at dele erfaringer og sparre om løsninger og

metoder med netværkets øvrige deltagere

✓Udvidelse af dit professionelle netværk, som du kan

trække på fremadrettet

✓Mulighed for at høre spændende oplæg og cases om

aktuelle emner fra førende eksperter fra toneangivende

virksomheder og offentlige myndigheder

✓Adgang til et online forum til at udveksle erfaringer

mellem møderne

Læs mere på http://kammeradvokaten.dk/viden/dpo-

netvaerket/

19. APRIL 2018

Side 20

Kammeradvokatens persondataspecialister

19. APRIL 2018

Elisabeth Andersen-MøllerAdvokatDigitalisering og Regulering

M: 24 23 54 66

elan@kammeradvokaten.dk

Jesper NørøxePartner, Advokat (L)Digitalisering og Regulering

M: 25 10 05 13T: 72 30 72 41jno@kammeradvokaten.dk

Martin SønnersgaardAdvokatDigitalisering og Regulering

M: 50 77 84 23T: 72 30 74 25mso@kammeradvokaten.dk

Rasmus Holm HansenPartner, Advokat (H) Digitalisering og Regulering

M: 25 10 05 58

rhh@kammeradvokaten.dk

Sune FugleholmPartner, Advokat (H) Digitalisering og Regulering

M: 25 43 03 10 T:: 72 30 72 76 sfs@kammeradvokaten.dk

Louise OlsenAdvokatfuldmægtigDigitalisering og Regulering

M: 61 24 51 36

lool@kammeradvokaten.dk

David KnobelAdvokatUdbud, Transaktioner, EU og Markedsret

M: 61 24 51 25T: 72 30 73 51dakn@kammeradvokaten.dk

Milena Anguelova Krogsgaard Partner, Advokat (L)Digitalisering og Regulering

M: 25 10 05 57T: 72 30 74 77man@kammeradvokaten.dk

Niels BankePartner, Advokat (H)Ansættelsesret

M: 25 43 03 07T: 72 30 73 49ban@kammeradvokaten.dk

Kirsten Marie PetersenAdvokatfuldmægtigDigitalisering og Regulering

M: 22 26 23 57T: 72 30 73 81kipe@kammeradvokaten.dk

Anni Noes WestergaardAdvokat (L)Digitalisering og Regulering

M: 25 10 05 99T: 72 30 74 17anwe@kammeradvokaten.dk

Jakob KambyPartner, Advokat (L) Digitalisering og Regulering

M: 25 10 05 31T:: 72 30 74 65 jka@kammeradvokaten.dk

Side 21