Datatilsynets hjemmeside: www.datatilsynet.dk abonnementsordning relevante links

Persondataloven Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger Tilhørende bekendtgørelser og vejledninger

EF-direktivet Direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger Formål: Beskyttelse af privatlivets fred Fri udveksling af oplysninger i EU

Oversigt over persondataloven Afsnit 1: Anvendelsesområde Afsnit 2: Behandlingsregler Afsnit 3: Registreredes rettigheder Afsnit 4: Sikkerhed Afsnit 5: Anmeldelse Afsnit 6: Tilsyn og afsluttende bestemmelser

Persondatalovens anvendelsesområde A) Al behandling af personoplysninger Enhver form for håndtering af oplysninger, f.eks. indsamling, registrering, systematisering, ændring, brug, overladelse, videregivelse, sletning. B) Dog kun hvis - behandlingen foretages ved hjælp af edb, - personoplysningerne er/vil blive indeholdt i et manuelt register, eller - anden manuel systematisk behandling af personoplysninger (kun private). C) Personoplysninger, jf. § 3, nr. 1.

Register (§ 3, nr. 3) Def: En struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier Fx: Kartotekskasser Journalbøger Fortegnelser Systematiske ringbind Men ikke samlinger af ”papirsager” eller enkelte ”papirsager”

Personoplysninger (§ 3, nr. 1) Def: Enhver information om en identificeret eller identificerbar fysisk person ”fysisk person”, dvs. også oplysninger om enkeltmandsejede virksomheder både objektive og subjektive oplysninger i et vist omfang afdøde omfatter bipersoner ej anonyme oplysninger

Undtagelser (§ 2) Anden lovgivning EMK art 10 Aktiviteter af rent privat karakter Særregler for politi, anklagemyndighed, domstole Folketinget og dets institutioner 6.-10. Medier og litterær virksomhed m.v. Efterretningstjenesterne

Systematikken i lovens kapitel 4 § 5 Grundlæggende principper §§ 6-8 Generelle behandlingsregler § 6 Almindelige oplysninger § 7 Følsomme oplysninger § 8 Andre følsomme oplysninger §§ 9-13 Særlige behandlinger § 14 Arkivering efter arkivloven

Grundprincipper § 5 God databehandlingsskik: Databehandlingen skal være rimelig og lovlig Formålsbestemthed: Indsamling skal ske til udtrykkeligt angivne og saglige formål. Senere behandling må ikke være uforenelig Proportionalitet: Relevante og tilstrækkelige oplysninger. Ikke mere end nødvendigt Datakvalitet: Ajourføring og kontrol. Sikre sig, at der ikke behandles urigtige eller vildledende oplysninger Sletning når man ikke længere har brug for oplysningerne (eller hvis man ikke har et system med tilstrækkelig sikkerhed) Kursus i persondataloven

Behandlings- regler § 7 § 8 § 11 § 6 Racemæssig, el. etnisk baggr. Politisk, religiøs el. filosofisk overbevisning. Fagforening. Helbreds mæssige og sexuelle forhold. Behandlings- regler § 7 Strafbare forhold, væsentlige sociale problemer Andre rent private forhold Fx: selvmordsforsøg, registreret partner bortvisning fra jobbet, personlighedstest § 8 CPR-NUMMER Økonomi, skat, gæld, sygedage, tjenstlige forhold Familieforhold, bolig, bil, eksamen, ansøgning, CV Ansættelsesdato, stilling, arbejdsområde, arbejdstelefon Stamoplysninger: Navn, adresse, fødselsdato § 11 § 6

§ 6: Almindelige oplysninger Nr. 1: Samtykke, jf. § 3, nr. 8 Nr. 2: Nødvendig af hensyn til en aftale Nr. 3: Nødvendig af hensyn til retlig forpligtelse Nr. 4: Nødvendig for at beskytte den registreredes vitale interesser Nr. 5: Nødvendig af hensyn til udførelsen af en opgave i samfundets interesse Nr. 6: Offentlig myndighedsudøvelse Nr. 7: Interesseafvejning

Samtykke (§ 3, nr. 8) Def: En viljestilkendegivelse, der skal være frivillig specifik Hvem må behandle? Hvilke oplysninger? Til hvilke formål? informeret Hvad vil oplysningerne blive brugt til? Ej krav om skriftlighed Skal være udtrykkeligt, ej stiltiende Ingen tidsbegrænsning Kan tilbagekaldes, jf. § 38

§§ 7-8: Følsomme oplysninger Strengere betingelser Kan bl.a. behandles med samtykke

Den registreredes rettigheder Pligt for den dataansvarlige til at give oplysninger ved indsamling (fx ved modtagelse af e-mails Ret til indsigt i oplysninger om en selv (fx i e-mails) Ret til at gøre indsigelse Ret til at kræve urigtige oplysninger rettet, slettet eller blokeret Ret til at modsætte sig automatiske afgørelser

Oplysningspligt §§ 28 og 29 Den dataansvarlige skal på eget initiativ oplyse om Den dataansvarliges identitet Formålene med behandlingen Eventuelle yderligere oplysninger Der gælder dog en række undtagelser

Hvordan skal oplysningerne gives? Ingen formkrav, ej heller skriftlighed Oplysningspligten opfyldes af egen drift Kun pligt til underretning én gang ved løbende indsamling

Undtagelse fra oplysningspligt, § 28 Den registrerede er allerede bekendt med de oplysninger, der skal gives (§ 28, stk. 2) Konkret undtagelse af hensyn til offentlige eller private interesser (§ 30) Bemærk særligt § 30, stk. 2, nr. 5 og 6.

Undtagelser fra oplysnings-pligt, § 29 Den registrerede er allerede bekendt med de oplysninger, der skal gives (§ 29, stk. 2, 1. led) Registrering eller videregivelse udtrykkeligt fastsat ved lov (§ 29, stk. 2, 2. led) Underretning er umulig eller uforholdsmæssig vanskelig (§ 29, stk. 3) Konkret undtagelse af hensyn til offentlige eller private interesser (§ 30) Bemærk særligt § 30, stk. 2, nr. 5 og 6.

Den registreredes indsigtsret (egenacces) § 31 Den registrerede har på begæring krav på oplysning om Hvilke oplysninger (om den registrerede) der behandles Behandlingens formål Kategorierne af modtagere af oplysningerne Tilgængelig information om, hvorfra disse oplysninger stammer Kursus i persondataloven

Begrænsninger i indsigtsretten Afgørende hensyn til offentlige eller private interesser, herunder hensynet til den pågældende selv Forskning og statistik Tidsmæssig begrænsning Kursus i persondataloven

Undtagelse fra indsigtsret som efter offentlighedsloven (§ 32, stk. 2) Gælder for den offentlige forvaltning Oplysninger, der behandles som led i administrativ sagsbehandling, kan undtages fra indsigtsret efter persondataloven i samme omfang som efter regler i offentlighedsloven

Anmeldelse af behandlinger til Datatilsynet Kursus i persondataloven

Offentlige myndigheder, kap. 12 HO: Alle behandlinger af personoplysninger skal anmeldes, jf. § 43 U: § 44: - Ikke-fortrolige oplysninger - Identifikationsoplysninger, herunder personnummer, oplysninger om betaling til og fra off. myndighed. U: Undtagelsesbekendtgørelse nr. 529, herunder undervisningssystemer Der skal tillige indhentes forudgående udtalelse, hvis følsomme oplysninger, jf. § 45, stk. 1.

Private, kap. 13 HO: Behandlinger af følsomme oplysninger skal anmeldes, jf. §§ 48-49 samt undtagelsesbekendtgørelse nr. 534. Visse undtagelser, f.eks. oplysninger om forenings medlemmer (§ 49, stk. 1, nr. 6) Der skal tillige indhentes tilladelse til behandlingen, jf. § 50, stk. 1.

Behandlingssikkerhed Der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes kommer til uvedkommendes kendskab misbruges behandles i strid med loven Dette er essensen af lovens §41 stk. 3. Mere præcist eller detaljeret siges det ikke i selve loven. Kursus i persondataloven

Sikkerhedsbekendtgørelse Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (nr. 528) Almindelige bestemmelser Generelle sikkerhedsbestemmelser Supplerende sikkerhedsforanstaltninger for anmeldelsespligtige behandlinger Sikkerhedsbekendtgørelsen indeholder 3 kapitler. For enhver behandling af personoplysninger, uanset om der indgår fortrolige oplysninger eller ej, gælder bestemmelserne i bekendtgørelsens kap. 1 (almindelige bestemmelser) og i kapitel 2 (generelle bestemmelser). For behandlinger, som efter lovens kapitel 12 skal anmeldes til Datatilsynet, gælder ud over bestemmelserne i bekendtgørelsens kapitel 1 og 2 også bestemmelserne i kapitel 3 – supplerende sikkerhedsforanstaltninger for anmeldelsespligtige behandlinger. Sikkerhedsbekendtgørelsen er udgivet af Justitsministeriet. Den holder sig på et meget generelt niveau, selvom sikkerhedskravene er langt mere specificerede end i loven. Datatilsynet har udsendt en vejledning til sikkerhedsbekendtgørelsen. Heri gives på en række punkter en mere konkret vejledning til hvorledes sikkerhedsbekendtgørelsens krav kan opfyldes. Men det er ikke en generel og detaljeret sikkerhedshåndbog! Kursus i persondataloven

Generelle sikkerhedsbestemmelser Der skal fastsættes særlige retningslinier for pc-arbejdspladser uden for den dataansvarliges lokaliteter Hjemmearbejdspladser Bærbare pc’er PDA’er og lign. Kapitel 2. Generelle bestemmelser Hjemmearbejdspladser: Lokal lagring af oplysninger. Oplysninger bør krypteres Lokal udskrivning af oplysninger Anden anvendelse af hjemme-pc. Hvis dette tillades, så særlige retningslinier. Fysisk sikkerhed Anvendelse af opkaldslinier. Lukkede brugergrupper, A-nummer verifikation, tilbagekald. Gælder ikke alene pc’er, men naturligvis også andet elektronisk udstyr, f. eks. PDA’er (Personal Digital Assistent) Bestemmelser om inddatamateriale. Må kun benyttes af personer, som er beskæftiget med inddatering. Skal opbevares aflåst. Skal slettes eller tilintetgøres, når det ikke længere skal anvendes til de formål, som behandlingen varetager. Bestemmelser om inddatamateriale gælder for materiale, som hverken indgår i en traditionel papirbaseret sag, herunder en patientjournal, eller i et manuelt register. Det samme gælder uddatamateriale. Kursus i persondataloven

Generelle sikkerhedsbestemmelser Autorisationsordning Formel autorisation af brugere til anvendelse af nødvendige personoplysninger Teknisk adgangskontrol Oftest baseret på brugeridentifikation og password Kapitel 2. Generelle bestemmelser Bestemmelser om inddatamateriale. Må kun benyttes af personer, som er beskæftiget med inddatering. Skal opbevares aflåst. Skal slettes eller tilintetgøres, når det ikke længere skal anvendes til de formål, som behandlingen varetager. Bestemmelser om inddatamateriale gælder for materiale, som hverken indgår i en traditionel papirbaseret sag, herunder en patientjournal, eller i et manuelt register. Det samme gælder uddatamateriale. §12. Der skal træffes foranstaltninger for at sikre, at kun autoriserede brugere kan få adgang, og at disse kun kan få adgang til de personoplysninger, som de er autoriserede til. I sikkerhedsvejledningen anbefaler Datatilsynet, at password har en længde på mindst 8 tegn og opbygges af en blanding af tal og store og små bogstaver. Password bør skiftes mindst en gang om året. Ellers ikke flere detaljerede råd om passwords. Kursus i persondataloven

Brug af Internet Fortroligheden af personoplysninger, som transmitteres via internet, skal sikres ved hjælp af forsvarlig kryptering Fortrolige oplysninger og herunder CPR-nr. skal krypteres Ved følsomme oplysninger skal anvendes stærk kryptering Ved brug af Internet er der en risiko, for at oplysningerne læses og eventuelt ændres af uvedkommende, ligesom der er risiko for, at parterne i kommunikationen ikke er dem de udgiver sig for. I sikkerhedsvejledningen siges kun noget om sikring af fortrolighed, som skal ske ved forsvarlig kryptering. Personnummer og fortrolige oplysninger skal krypteres. Følsomme oplysninger skal krypteres ved stærk kryptering, baseret på en anerkendt algoritme. Ved stærk kryptering forstår vi p.t. 128 bits nøglelængde. Datatilsynet vil normalt betragte VPN- og MPLS-forbindelser som værende lige så sikre som faste telefonlinier. Typisk LAN til LAN sammenkobling Ingen detaljer om den konkrete tekniske løsning Kursus i persondataloven

Supplerende sikkerhedsforanstaltninger Gælder generelt set kun for de fortro-lige oplysninger, som indgår i en given behandling Differentieret adgangskontrol Løbende kontrol af autorisationer Opfølgning på afviste adgangsforsøg Logning Kapitel 3. Supplerende sikkerhedsforanstaltninger Ad. § 15. Behandlinger, som omfatter oplysninger af fortrolig karakter, er - med de i lov om behandling af personoplysninger nærmere angivne undtagelser - anmeldelsespligtige og skal ske under iagttagelse af de supplerende sikkerhedsbestemmelser i dette kapitel. Udover disse oplysninger af fortrolig karakter, som indgår i en anmeldelsespligtig behandling, vil der typisk i behandlingen også indgå oplysninger, som ikke er af fortrolig karakter. Bestemmelserne i dette kapitel gælder ikke for anvendelse af disse ikke-fortrolige oplysninger og heller ikke for anvendelse af de fortrolige oplysninger, som efter lovens undtagelsesbestemmelser kan indgå i en behandling, uden at behandlingen er anmeldelsespligtig. §16. Autorisationer, jf. §11, skal angive, i hvilket omfang brugeren må forespørge, inddatere eller slette personoplysninger. Ad § 17, stk. 2. Efter denne bestemmelse skal der mindst en gang hvert halve år foretages kontrol af, at autorisationer ajourføres som foreskrevet ovenfor. Det er den dataansvarliges ansvar, at der fastlægges en passende kontrolprocedure. Denne procedure kan f.eks. indebære, at der i systemerne dannes en statistik over den enkelte brugers anvendelse af systemet, således at det kan konstateres, om der er udstedte autorisationer, som ikke er anvendt, og som derfor eventuelt kan inddrages. Ad §18. Kontrol med afviste adgangsforsøg. Lukning af anvendt brugerid. Der skal løbende ske opfølgning i myndigheden, men ikke krav om udskrivning af meddelelse herom. Kursus i persondataloven