Ved Martin Ib Bruun Kontakt: mbru@nanoq.gl 02-04-2017 Persondataloven Ved Martin Ib Bruun Kontakt: mbru@nanoq.gl

Rammerne for mødet v. retschef Andreas Salmony 02-04-2017 Rammerne for mødet v. retschef Andreas Salmony Ikraftsættelsen af persondataloven har været i støbeskeen i lang tid Under et forretnings-naalakkersuisut kan høringsprocessen ikke sættes i gang Vi vil gerne bruge tiden til at præsentere den danske lov som foreslås ikraftsat

Enterprise Ressource Planning 02-04-2017 Enterprise Ressource Planning Delprojekter: Forudsætninger og rammer Økonomistyring Ledelsesinformation

02-04-2017 Persondataloven Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger [senest ændret ved lov nr. 1245 af 18. december 2012] Justitsministeriet foreslår, at loven sættes i kraft i Grønland den 1. januar 2014. Persondataretten er ikke ensbetydende med IT-ret!

Persondatalovens baggrund og formål 02-04-2017 Persondatalovens baggrund og formål EU-direktiv fra 1995 [Direktiv 95/46 EF] Formålsbetragtninger (3) det indre markeds oprettelse og funktion, som i henhold til traktatens artikel 7 A indebærer fri bevægelighed for varer, personer, tjenesteydelser, og kapital, forudsætter ikke blot, at personoplysninger kan cirkulere frit fra én medlemsstat til en anden, men også, at det enkelte menneskes grundlæggende rettigheder beskyttes [egen fed]

Menneskerettighedskonventionen 02-04-2017 Menneskerettighedskonventionen Den Europæiske Menneskerettighedskonvention (1950) Artikel 8 Stk. 1. Enhver har ret til respekt for sit privatliv og familieliv, sit hjem og sin korrespondance.

Grundlæggende rettigheder 02-04-2017 Grundlæggende rettigheder DEN EUROPÆISKE UNIONS CHARTER OM GRUNDLÆGGENDE RETTIGHEDER Artikel 8 1. Enhver har ret til beskyttelse af personoplysninger, der vedrører ham/hende.

Persondataloven, offentlighedsloven og sagsbehandlingsloven 02-04-2017 Persondataloven, offentlighedsloven og sagsbehandlingsloven Sagsbehandlingsloven Offentlighedsloven Persondataloven Formål: Lovlige afgørelser Formål: Gennemsigtighed Formål: Gennemsigtig og hensigtsmæssig behandling af personoplysninger i et teknologisk miljø. Vejledningspligt Notatpligt Videregivelse Aktindsigt Partshøring Egenaccess Behandlingsprincipper Begrundelse Behandlingsregler Klagevejledning Oplysningspligt Partsrepræsentation Sletning, blokering, rettelse, indsigelsesret og indsigtsret, Partsaktindsigt Inhabilitet Tavshedspligt Anmeldelse, Videregivelse af oplysninger Datasikkerhed

Persondatalovens formål 02-04-2017 Persondatalovens formål at styrke borgernes retssikkerhed og at teknologiens muligheder for persondatabehandling udnyttes på en samfundsmæssig acceptabel måde

Persondataretten og teknologien 02-04-2017 Persondataretten og teknologien Registerloven skulle fungere i forhold til teknologi, der ikke var kendt i 1978. Persondataloven skulle fungere i forhold til teknologi, der ikke var kendt i 1995. Persondataloven skal fungere i forhold til teknologier, som ikke er kendt i 2014, hvor loven foreslås at træde i kraft for Grønland.

Den teknologiske udvikling 02-04-2017 Udbredelse Kapacitet Netværk, distribution og mobilitet. Nye lagringsmedier, f.eks. cloud computing* Banaliseringsrisiko Ophobning Ukontrolleret spredning Tab af data *Cloud computing er et begreb, som omfatter levering af software, service og tjenesteydelser via internettet.

Case: Datatilsynet om cloud computing 02-04-2017 Case: Datatilsynet om cloud computing Datatilsynet om cloud computing ”(..) I tråd med dette har Datatilsynet generelt en positiv indstilling over for brug af nye teknologier, herunder som udgangspunkt også cloud computing.” Behandling af følsomme personoplysninger i cloud-løsning, journalnummer: 2010-52-0138 Odense Kommune ønsker at anvende Google Apps online kontorpakke med kalender og dokumenthåndtering. Datatilsynet vurderede konkret, at anvendelsen af Google Apps ikke var lovlig.

Opsummering Opfattelsen af persondataretten er i bevægelse Persondataloven er en generel lov. Ny teknologi udfordrer persondataretten

Gældende persondataret i Grønland 02-04-2017 Gældende persondataret i Grønland Lov om offentlige myndigheders registre [lov nr. 294 af 8. juni 1978]

02-04-2017 Registerloven § 1, stk. 1 Loven gælder for registrering i edb-registre, der føres for den offentlige forvaltning, og som indeholder personoplysninger.

Persondatalovens anvendelsesområde 02-04-2017 Persondatalovens anvendelsesområde Al elektronisk behandling af oplysninger om personer og ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register (jf. § 1, stk. 1.)

Definition af centrale begreber 02-04-2017 Definition af centrale begreber Personoplysninger, § 3, nr. 1 Behandling, § 3, nr.2 Dataansvarlig, § 3, nr. 4 Databehandler, § 3, nr. 5

Personoplysninger § 3, nr. 1 Enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede).

Case: Personoplysning? 02-04-2017 Case: Personoplysning? Er overskriften i en akt sagsakt »klage over kommunen« en personoplysning?

02-04-2017 Behandling § 3, nr. 2 Enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for, dvs. enhver form for håndtering af oplysninger.

Den dataansvarlige § 3, nr. 4 02-04-2017 Den dataansvarlige § 3, nr. 4 Den dataansvarlige er den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør til hvilket formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger. Den dataansvarlige har det umiddelbare ansvar for behandlingen.

02-04-2017 Databehandleren § 3, nr. 5 Databehandleren er den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne. Det er fortsat den dataansvarlige og ikke databehandleren, der er direkte ansvarlig over for den registrerede. Databehandleren kan ikke disponere over oplysningerne til egne formål.

Case: Databehandler/dataansvarlig 02-04-2017 Case: Databehandler/dataansvarlig Anordning om ikrafttræden for Grønland af lov om Det Centrale Personregister § 2. Indenrigs- og Sundhedsministeriet administrerer CPR sammen med kommunalbestyrelserne i Grønland i overensstemmelse loven. Indenrigs- og Sundhedsministeriet administrerer endvidere CPR i overensstemmelse med reglerne i lov om Det Centrale Personregister (..) Indenrigs- og Sundhedsministeren fastsætter nærmere regler for kommunalbestyrelsernes medvirken ved CPR’s vedligeholdelse. Kommunalbestyrelsernes varetagelse af opgaverne efter loven sker på grundlag af CPR eller, efter indenrigs- og sundhedsministerens nærmere bestemmelse, andre registre, som er dannet alene på grundlag af CPR og indeholder de pågældende oplysninger i ajourført form.

Case: Databehandler/dataansvarlig 02-04-2017 Case: Databehandler/dataansvarlig Datatilsynets brev af 3. april 2012, journalnummer: 2011-631-0136 I praksis varetog KL »ejerrollen« for køreprøve-bookingsystemet på kommunernes vegne. KL agerede dermed i praksis som dataansvarlig, selvom det af fællesanmeldelsen fremgik, at kommunerne var dataansvarlige. KL handlede dermed som dataansvarlig uden at være berettiget dertil. KL overførte bl.a. køreprøvesystemet til en cloud-løsning uden at leve op til persondatalovens krav om en skriftlig databehandleraftale. Endvidere viste det sig, at cloud-løsningen havde en sikkerhedsbrist.

Lovens område: Sagsbehandlingsloven eller persondataloven? 02-04-2017 Lovens område: Sagsbehandlingsloven eller persondataloven? Den lov der giver den bedste retsstilling (§ 2, stk.1 ) Ansøgningssager Tekniske forhold kan være udslagsgivende.

Fiktiv case: Sagsbehandlingsloven eller persondataloven? 02-04-2017 Fiktiv case: Sagsbehandlingsloven eller persondataloven? En sagsbehandler noterer oplysninger om en borger i et tekstbehandlingssystem. Umiddelbart herefter bliver dokumentet printet og journaliseret og fremsendes sammen med sagens øvrige akter til en sagsbehandler i en anden forvaltningsmyndighed. Skal videregivelsen af oplysningerne vurderes efter persondataloven eller sagsbehandlingsloven?

Fiktiv case: Sagsbehandlingsloven eller persondataloven? 02-04-2017 Fiktiv case: Sagsbehandlingsloven eller persondataloven? En sagsbehandler noterer oplysninger om en borger i et tekstbehandlingssystem. Umiddelbart herefter bliver dokumentet printet og journaliseret. Nogle måneder senere anmoder en anden myndighed om oplysningerne. Sagsbehandleren finder de journaliserede dokumenter frem og fremsender sagen. Er videregivelsen reguleret af persondataloven eller sagsbehandlingsloven?

02-04-2017 Case: Behandling UfR 2011.2343 H Notater fra en sygefraværssamtale om alkoholmisbrug var skrevet på et tekstbehandlingssystem. I forbindelse med en ansættelse blev disse oplysninger telefonisk fra en tidligere arbejdsgiver. Oplysningerne var nedskrevet på et tekstbehandlingssystem. Under telefonsamtalen blev oplysningerne om alkoholmisbruget videregivet per hukommelse. Er videregivelsen omfattet af persondatalovens regler om behandling, jf. § 3, nr. 2?

Opsummering Lovens område: Lovvalg, jf. UfR 2011.2343 H Personhenførbare oplysninger, jf. ”Klage over Esbjerg Kommune” Behandling af personoplysninger Lovvalg, jf. UfR 2011.2343 H Dataansvarlig/databehandler, jf. ”Køreprøve-booking”

PAUSE

Grundlæggende principper God databehandlingsskik Proportionalitet Saglighed Formålsbestemthed Tidsbegrænsning

God databehandlingsskik 02-04-2017 God databehandlingsskik § 5, stk. 1 Oplysninger skal behandles i overensstemmelse med god databehandlingsskik.

Case: God databehandlingsskik Datatilsynets brev af 16. december 2008, journalnummer: 2007-323-0026 og 2007-632-0015 Ansøgningssager om tilskud til invalidebiler og sociale sager om såkaldte »bekymringsbørn« kunne findes på kommunens hjemmeside. Desuden havde byrådsmedlemmer og alle kommunens ansatte adgang til omkring 43.000 personnumre via kommunens intranet.

Formålsbestemthed § 5, stk. 2 02-04-2017 Formålsbestemthed § 5, stk. 2 Indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og senere behandling må ikke være uforenelig med disse formål. ”Genbrug må ikke være uforenelig med det eller de formål, hvortil oplysningerne oprindeligt blev indsamlet.” Man har valgt det negative princip. Behandlingen må ikke være uforenelig. Man kunne have valgt et positivt princip – behandlingen skal være forenelig. Men det negative princip bebyrder de dataansvarlige mindst muligt. Når myndighederne skal i gang med at anmelde behandlinger til Datatilsynet så er det formålsbestemthedsprincippet man først vil skulle vurdere. Datatilsynet accepterer, at man angiver flere formål. Persondataloven indeholder ikke nogen regler om samkøring. Årsagen er, at samkøring skal gribes af dette princip. Ingen af formålene med en samkøring må være uforenelige med de formål der begrundede den oprindelige indsamling. Indsamlede oplysninger kan dermed ikke frit genbruges, f.eks. videregives Genbrug må ikke være uforenelig med det eller de formål, hvortil oplysningerne oprindeligt blev indsamlet.

Er formålsbestemthedsprincippet en nyskabelse? 02-04-2017 Er formålsbestemthedsprincippet en nyskabelse? Europarådets konvention 108/81 om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger af 28. januar 1981. Ratificeret af Danmark i 1989. Formålsbestemthedsprincippet er kodificeret i konventionens art. 5b. Danmark har meddelt, at konventionen ikke finder anvendelse for Færøerne og Grønland. Det har været omtvistet i den juridiske teori om formålsbestemthedsprincippet var en nyskabelse – eller ej. Formålsbestemthedsprincippet kan findes i Europarådets konvention 108/81 om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger af 28. januar 1981, som i 1989 blev ratificeret af Danmark [Lovtidende afdeling C 1991 nr. 59, s. 133ff]. Danmark meddelte, at konventionen ikke fandt anvendelse for Færøerne og Grønland. Formålsbestemthedsprincippet er kodificeret i konventionens art. 5b. Siden ratificeringen har danske myndigheder dermed haft pligt til at udnytte skønsprægede beføjelser på en sådan måde, at brud med konventionens formålsbestemthedsprincip undgås [instruktionsreglen]. Formålsbestemthedsprincippet er dermed ikke en nyskabelse i dansk ret; men der er ingen tvivl om at den direkte kodificering af princippet kan medføre en ændring i retstilstanden, fordi den korrekte retsanvendelse er mere tydelig i forhold til de mere vagt formulerede rammebestemmelser i registerlovgivningen. I Grønlandsk ret må princippet (Tekst mangler)

Relevans og proportionalitet 02-04-2017 Relevans og proportionalitet § 5, stk. 3 Oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles. Dette er et kendt princip fra forvaltningsretten. Også kaldet det mindste middels princip.

Case: Proportionalitet 02-04-2017 Case: Proportionalitet Et fitnesscenter foretager tv-overvågning af omklædningsrum for at kunne dokumentere eventuelle tyverier og indbrud. Tv-optagelserne opbevares efter forskrifterne for datasikkerhed. Er optagelserne i strid med persondataloven?

Case: Proportionalitet 02-04-2017 Case: Proportionalitet Et boligselskab modtager en liste fra kommunen, hvor de pågældende borgere var listet efter personnummer. På denne liste skulle boligselskabet herefter indtaste de ændringer i lejeforholdene, der måtte være, og tilbagesendte listen til kommunen. Dette letter arbejdet for kommunen når der f.eks. skal tages stilling til ændringer i udbetaling af boligsikring. Er denne praksis i strid med persondataloven?

02-04-2017 Datakvalitet § 5, stk. 4 Behandling af oplysninger skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne. Der skal endvidere foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges.

02-04-2017 Tidsbegrænsning § 5, stk. 5 Indsamlede oplysninger må ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.

Case: Tidsbegrænsning 02-04-2017 Case: Tidsbegrænsning Datatilsynets j.nr. 2003-313-0180 En borger klager over, at Parkering-København behandler oplysninger om ham, selvom han havde betalt sin parkeringsafgift. Oplysningerne blev bevaret for at Parkering-København kunne behandle evt. klager og ville først blive slettet efter 5 år. Er dette i strid med persondataloven?

02-04-2017 Hjemmelsprincippet Hjemmelsprincippet er ikke direkte udtrykt i loven. Princippet fremgår af loven generelt. Hjemmelsprincippet indebærer, at personoplysninger ikke kan behandles uden lovhjemmel. Hjemmel skal enten være tilstede i særlovgivningen eller i persondataloven.

Opsummering Grundlæggende principper for behandling af personoplysninger Principperne fortæller ikke noget om hvorvidt behandlingen er lovlig/berettiget

Kategorisering af personoplysningerne 02-04-2017 Kategorisering af personoplysningerne Almindelige personoplysninger, § 6. Følsomme personoplysninger, § 7, stk. 1. Andre følsomme personoplysninger, § 8, stk. 1. Personnummer, § 11

02-04-2017 Personnummer (§ 11) Racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold (§ 7) Helbredsmæssige og seksuelle forhold, samt kriminalretlige forhold og væsentlige sociale problemer (§ 8) Ikke-fortrolige eller almindeligt fortrolige oplysninger, f.eks. Hemmeligt telefonnummer, adresser, civilstand, løn o.s.v. (§ 6)

Nødvendighedskriteriet 02-04-2017 Nødvendighedskriteriet De praktiske hovedregler for intern behandling i den offentlige forvaltning: § 6, stk. 1, nr. 3, 6 og 7. § 7, stk. 2, nr. 4. § 8, stk. 1.

Behandling af almindelige personoplysninger, § 6 02-04-2017 Behandling af almindelige personoplysninger, § 6 Behandling må ske, når en af følgende betingelser er opfyldt: Borgeren har givet sit udtrykkelig samtykke (nr. 1). Det er nødvendigt for at kunne opfylde en aftale (nr. 2). Det er nødvendigt for at overholde en retlig forpligtelse (nr. 3). Det er nødvendigt for at beskytte den registreredes vitale interesser (nr. 4). Det er nødvendigt for at kunne udføre en opgave i samfundets interesse (nr. 5). Behandling sker som led i myndighedsudøvelse (nr. 6). Det er nødvendigt af hensyn til en berettiget interesse (nr. 7).

Behandling af følsomme personoplysninger 02-04-2017 Behandling af følsomme personoplysninger Udgangspunktet er, at der ikke må behandles personfølsomme oplysninger medmindre: Borgeren har givet sit udtrykkelige samtykke. Behandlingen er nødvendig for at beskytte borgeren eller en anden person vitale interesser, hvor den pågældende ikke er i stand til at give sit samtykke. Behandlingen vedrører oplysninger, som er blevet offentliggjort af borgeren selv og det er sket på borgerens eget initiativ. Behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares.

Datilsynets praksis Samkøring m.h.p. kontrol Offentliggørelse Positiv hjemmel Samkøring m.h.p. kontrol Offentliggørelse Videregivelse Indsamling og intern anvendelse Almindelige personoplysninger Følsomme personoplysninger

Case: Behandling af almindelige personoplysninger (navn og adresse) 02-04-2017 Case: Behandling af almindelige personoplysninger (navn og adresse) Datatilsynets j.nr. 2004-313-0247 En borgerhenvendelse til kommunen var refereret i en sagsfremstilling til kommunalbestyrelsen. Referatet fra mødet blev offentliggjort, og heraf fremgik borgerens navn og adresse. Efterfølgende gjorde borgeren indsigelse mod offentliggørelsen og klagede til Datatilsynet. Borgeren, der var pensioneret læge anførte, at han tidligere var blevet udsat for generende adfærd fra borgere, der opsøgte ham på bopælen for at skaffe receptpligtig medicin. Kommunen anførte heroverfor, at offentliggørelsen var et led i den demokratiske proces.

Den registrerede borgers rettigheder 02-04-2017 Den registrerede borgers rettigheder Ret til at få information, når der indsamles personoplysninger om pågældende selv, jf. §§ 28-30. Ret til indsigt i egne personoplysninger. Ret til at protestere mod behandling af personoplysninger. Ret til at protestere mod videregivelse af oplysninger. Ret til at få urigtige eller vildledende oplysninger rettet eller slettet. Ret til at tilbagekalde samtykke. Ret til at protestere mod visse automatiserede afgørelser. Ret til at klage til Datatilsynet.

Oplysningspligten Formål: Den registrerede gives mulighed for, på et oplyst grundlag, at tage beslutning om at give oplysninger om sig selv Formkrav Ingen formkrav Altid pligt til at oplyse: Den dataansvarliges identitet, og Formålet med behandlingen af oplysningerne

Hvilken behandlingsform? 02-04-2017 Hvilken behandlingsform? ”ved indsamling” Det er vigtigt at bemærke, at det kun er ”ved indsamling” at der indtræder oplysningspligt. Ved alle andre behandlingsformer er der ikke pligt til at give oplysninger til den registrerede. Dette tager brodden af byrden ved forpligtelsen; men det må erkendes, at det er en af de forpligtelser, der er svære at løfte.

Indsamles oplysningerne hos den registrerede selv eller indsamles hos tredjemand? Er oplysningerne bestemt til internt brug eller til videregivelse? Skal der gives yderligere oplysninger?

Oplysningspligten (§ 28) 02-04-2017 Oplysningspligten (§ 28) § 28 handler om tilfælde, hvor oplysninger indsamles hos den registrerede selv. Hvornår skal oplysningerne gives? Ved indsamling når oplysningerne er bestemt til internt brug Når oplysningerne er bestemt til videregivelse: Senest ved videregivelsen Reglerne om oplysningspligt opstiller ingen formkrav; men af bevismæssige årsager bør oplysningen gives skriftligt Efter både § 28 og § 29 i loven påhviler den dataansvarlige (eller dennes repræsentant) en pligt til af egen drift at give den registrerede meddelelse om en række forhold ved indsamling af oplysninger om den pågældende. Der er altså ikke tale om regler, der kun skal opfyldes, hvis den registrerede fremsætter begæring herom. Det skal vurderes konkret om der er behov for at give flere oplysninger end de kategorier der er listet i loven. Persondatalovens § 28 handler om tilfælde, hvor den dataansvarlige indsamlinger oplysninger direkte hos den registrerede. Udgangspunkt ”ved indsamling” Undtagelse Ved uopfordrede henvendelser skal oplysningspligten opfyldes senest 10 dage efter henvendelsen. § 29 regulerer tilfælde, hvor oplysningerne indsamles hos andre end den registrerede. Oplysninger bestemt til internt brug: ”10 dage” Oplysninger bestemt til videregivelse: ”senest ved videregivelsen” Både efter § 28 og § 29 har den dataansvarlige pligt til på at eget initiativ at give borgeren meddelelse om en række forhold ved indsamling af oplysninger om den pågældende. Der er altså ikke tale om regler, der kun skal opfyldes, hvis den registrerede fremsætter begæring herom. Borgeren skal indformeres snarest muligt, hvilket normalt vil sige inden 10 dage efter indsamlingen. Undtagelser til oplysningspligten Den registrerede allerede er bekendt med de (..) nævnte oplysninger”. i tvivlstilfælde skal man altid opfylde oplysningspligten, jf. §28, stk. Og § 29, stk. 2. Registreringen eller udtrykkeligt er fastsat ved lov, jf. § 29, stk. 2, 2. led. Datatilsynet fortolker denne bestemmelse strengt, der må ikke være tvivl om, hvorvidt det i lovgivningen er fastsat, at den dataansvarlige skal foretage registrering eller videregivelse af de indsamlede oplysninger. Underretning af borgeren er umulig eller uforholdsmæssigt vanskelig, jf. § 29, stk. 3. Konkret vurdering. Jo større betydning behandlingen af personoplysningerne har for borgeren, desto mere tale for, at den dataansvarlige skal opfylde sin oplysningspligt. Afgørende hensyn til private eller offentlige interesser, jf. § 30. F.eks. Efterforskning, afsløring og retsforfølgningen i straffesager, jf. § 30, stk. 2.

Oplysningspligten (§ 29) 02-04-2017 Oplysningspligten (§ 29) § 29 regulerer tilfælde, hvor oplysningerne indsamles hos andre end den registrerede. Hvornår skal oplysningerne gives? Inden 10 dage, hvis oplysningerne er bestemt til internt brug Senest ved videregivelsen, hvis oplysninger er bestemt for 3. mand.

Undtagelser til oplysningspligten 02-04-2017 Undtagelser til oplysningspligten Den registrerede allerede er bekendt med de (..) nævnte oplysninger eller registreringen udtrykkeligt er fastsat ved lov Underretning af borgeren er umulig eller uforholdsmæssigt vanskelig, jf. § 29, stk. 3. Afgørende hensyn til private eller offentlige interesser, jf. § 30. F.eks. Efterforskning, afsløring og retsforfølgningen i straffesager, jf. § 30, stk. 2.

02-04-2017 Ret til indsigt §§ 31-34 På begæring fra den registrerede skal den dataansvarlige oplyse: hvilke oplysninger der behandles, behandlingens formål, kategorierne af modtagere af oplysningerne og tilgængelig information om, hvorfra disse oplysninger stammer. Oplysningerne skal gives skriftligt inden 4 uger.

Undtagelser til indsigtsretten 02-04-2017 Undtagelser til indsigtsretten Oplysninger, der behandles for den offentlige forvaltning som led i administrativ sagsbehandling, kan undtages fra indsigtsretten i samme omfang som efter reglerne i offentlighedslovens § 2 samt §§ 7-11 og 14.

02-04-2017 Indsigelsesret, §§ 35-40 Indsigelsesretten Den registrerede har ret til på ethvert tidspunkt at fremsætte indsigelse over behandlingen. Der er ingen formkrav til indsigelsen. Retsvirkning af berettiget indsigelse Hvis indsigelsen efter stk. 1 er berettiget, må behandlingen ikke længere omfatte de pågældende oplysninger. Sletning, berigtigelse eller blokering? - Konkret vurdering fra sag til sag.

02-04-2017 Datasikkerhed, §§ 41-42 § 41, stk. 3 Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere. [egen fed]

Datasikkerhed (fortsat) 02-04-2017 Datasikkerhed (fortsat) Dataansvarlig / databehandler Databehandlere må kun behandle personoplysninger på grundlag af en instruks fra den dataansvarlige. Ansvaret for at sikkerheden lever op til lovens krav påhviler altid den dataansvarlige.

Case: Google Apps Aftale mellem Odense Kommune og Google: "Customer … instructs Google to provide the Services and process End User personal data in accordance with the Google Privacy Policies and Google agrees to do the same.” Datilsynets udtalelse: ”En sådan instruks må efter Datatilsynets opfattelse anses for - rent materielt - at være uden indhold.”

Datasikkerhed (fortsat) 02-04-2017 Datasikkerhed (fortsat) Retskilderne Sikkerhedsbekendtgørelsen. Sikkerhedsvejledningen. Dansk Standard DS 484 / ISO27001.

Anmeldelse, §§ 43-47 Udgangspunkt 02-04-2017 Udgangspunkt Pligt til at anmelde behandlinger af personoplysninger inden de behandles, jf. § 43, stk.1. Undtagelser for anmeldelse Behandlinger af ikke-fortrolige personoplysninger. Hvis det eneste formål er at føre et register, der i henhold til lovgivning er beregnet til at informere offentligheden, og som er tilgængeligt for offentligheden. En række særlige behandlinger, der der undtaget fra anmeldelsespligten, fremgår af undtagelsesbekendtgørelsen.

02-04-2017 Anmeldelse (fortsat) Indhentelse af udtalelse Visse behandlinger der kan være særligt integritetstruende og forudsætter, at Datatilsynets udtalelse indhentes, f.eks. samkøring og behandling af følsomme oplysninger. Datatilsynets kompetence Der er ikke tale om en egentlig afgørelseskompetence, men alene en udtalelsesret.

Tilsyn, §§ 54-63 Datatilsynets kompetencer Legal høringspart. 02-04-2017 Tilsyn, §§ 54-63 Datatilsynets kompetencer Legal høringspart. Enhver behandling, der omfattes af loven. Tilsyn af egen drift eller efter klage. Datatilsynet træffer over for vedkommende myndighed afgørelse i sager vedrørende” (..). i andre tilfælde afgiver tilsynet udtalelser” ”Datatilsynets afgørelser efter denne lov kan ikke indbringes for anden administrativ myndighed. Datatilsynet kan kræve enhver oplysning, der er af betydning for dets virksomhed, herunder til afgørelse af, om et forhold falder ind under lovens bestemmelser. (..) uden retskendelse adgang til alle lokaler, hvorfra en behandling, som foretages for den offentlige forvaltning, administreres (..).

Reaktionsmuligheder Udtale kritik 02-04-2017 Reaktionsmuligheder Udtale kritik I forhold til offentlige myndigheder træffe bindende afgørelser I forhold til offentlige myndigheder komme med henstillinger om datasikkerhed Offentliggøre udtalelser på tilsynets hjemmeside. Politianmeldelse

02-04-2017 Erstatningsansvar Den dataansvarlige skal erstatte skade, der er forvoldt ved behandling i strid med bestemmelserne i denne lov, medmindre det godtgøres, at skaden ikke kunne have været afværget ved den agtpågivenhed og omhu, der må kræves i forbindelse med behandling af oplysninger, jf. § 69. [egen fed].

Case: Erstatningsansvar 02-04-2017 Case: Erstatningsansvar UFR 2007.1967 V En fagforening havde overtrådt persondatalovens § 5, stk. 2 og §§ 6, 7 og 8 ved at offentliggøre en række oplysninger om en afskediget medarbejder, herunder helbredsoplysninger, på en hjemmeside, i breve til tillidsmændene og i et medlemsblad. Landsrettens præmisser: Offentliggørelsen krænkede medarbejderens fred og ære, og arbejdsgiveren pålagdes i medfør af erstatningsansvarsloven § 26 at betale 10.000 kr. i godtgørelse for tort til medarbejderen.

02-04-2017 Overgangsregler § 71 Stk. 1. [udeladt]. Stk. 2. For behandlinger, der foretages for offentlige myndigheder, og som er iværksat før anordningens ikrafttræden, skal reglerne i kapitel 12 være opfyldt senest den 1. juli 2014. Stk. 3. Behandlinger, der er iværksat før anordningens ikrafttræden, kan fortsætte uden tilladelse i 16 uger efter anordningens ikrafttræden. [egen fed] Stk. 4. Der skal senest 16 uger efter anordningens ikrafttræden foretages anmeldelse efter bestemmelsen i § 52.

Internationale overførsler 02-04-2017 Internationale overførsler Grønland er et såkaldt ”usikkert tredjeland” Persondatalovens ikraftsættelse vil ikke ændre på denne status Internationale overførsler forudsætter p.t. at der indgås aftaler, som sikrer et passende databeskyttelsesniveau I praksis anvendes EU-kommissionens standardkontrakter. Tredjelandsgodkendelse medfører at man kan lægge til grund, at databeskyttelsesniveauet er tilstrækkeligt.

Lex ferenda: EU-forordning 02-04-2017 Lex ferenda: EU-forordning Udkastets ændringer i hovedtræk: Mere detaljeregulering Flere rettigheder til de registrerede, f.eks. ret til dataportabilitet Dataansvarlige gives større ansvar Datatilsynet får større slagkraft Hvornår? Megen usikkerhed. Justitsministeriets seneste officielle meddelelse: Omkring 2020.

02-04-2017 Links Datatilsynet www.datatilsynet.dk Persondataloven www.retsinformation.dk/Forms/R0710.aspx?id=828