Præsentation er lastning. Vent venligst

Præsentation er lastning. Vent venligst

Datatilsynets hjemmeside:

Offentliggjort afKristen Kristiansen Redigeret for ca. et år siden

Lignende præsentationer

Præsentationer af emnet: "Datatilsynets hjemmeside:"— Præsentationens transcript:

1 Datatilsynets hjemmeside:
abonnementsordning relevante links

2 Persondataloven Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger Tilhørende bekendtgørelser og vejledninger

3 EF-direktivet Direktiv 95/46/EF af 24. oktober
1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger Formål: Beskyttelse af privatlivets fred Fri udveksling af oplysninger i EU

4 Oversigt over persondataloven
Afsnit 1: Anvendelsesområde Afsnit 2: Behandlingsregler Afsnit 3: Registreredes rettigheder Afsnit 4: Sikkerhed Afsnit 5: Anmeldelse Afsnit 6: Tilsyn og afsluttende bestemmelser

5 Persondatalovens anvendelsesområde
A) Al behandling af personoplysninger Enhver form for håndtering af oplysninger, f.eks. indsamling, registrering, systematisering, ændring, brug, overladelse, videregivelse, sletning. B) Dog kun hvis - behandlingen foretages ved hjælp af edb, - personoplysningerne er/vil blive indeholdt i et manuelt register, eller - anden manuel systematisk behandling af personoplysninger (kun private). C) Personoplysninger, jf. § 3, nr. 1.

6 Register (§ 3, nr. 3) Def: En struktureret samling af
personoplysninger, der er tilgængelige efter bestemte kriterier Fx: Kartotekskasser Journalbøger Fortegnelser Systematiske ringbind Men ikke samlinger af ”papirsager” eller enkelte ”papirsager”

7 Personoplysninger (§ 3, nr. 1)
Def: Enhver information om en identificeret eller identificerbar fysisk person ”fysisk person”, dvs. også oplysninger om enkeltmandsejede virksomheder både objektive og subjektive oplysninger i et vist omfang afdøde omfatter bipersoner ej anonyme oplysninger

8 Undtagelser (§ 2) Anden lovgivning EMK art 10
Aktiviteter af rent privat karakter Særregler for politi, anklagemyndighed, domstole Folketinget og dets institutioner Medier og litterær virksomhed m.v. Efterretningstjenesterne

9 Systematikken i lovens kapitel 4
§ 5 Grundlæggende principper §§ 6-8 Generelle behandlingsregler § 6 Almindelige oplysninger § 7 Følsomme oplysninger § 8 Andre følsomme oplysninger §§ 9-13 Særlige behandlinger § 14 Arkivering efter arkivloven

10 Grundprincipper § 5 God databehandlingsskik: Databehandlingen skal være rimelig og lovlig Formålsbestemthed: Indsamling skal ske til udtrykkeligt angivne og saglige formål. Senere behandling må ikke være uforenelig Proportionalitet: Relevante og tilstrækkelige oplysninger. Ikke mere end nødvendigt Datakvalitet: Ajourføring og kontrol. Sikre sig, at der ikke behandles urigtige eller vildledende oplysninger Sletning når man ikke længere har brug for oplysningerne (eller hvis man ikke har et system med tilstrækkelig sikkerhed) Kursus i persondataloven

11 Behandlings- regler § 7 § 8 § 11 § 6
Racemæssig, el. etnisk baggr Politisk, religiøs el. filosofisk overbevisning. Fagforening. Helbreds mæssige og sexuelle forhold. Behandlings- regler § 7 Strafbare forhold, væsentlige sociale problemer Andre rent private forhold Fx: selvmordsforsøg, registreret partner bortvisning fra jobbet, personlighedstest § 8 CPR-NUMMER Økonomi, skat, gæld, sygedage, tjenstlige forhold Familieforhold, bolig, bil, eksamen, ansøgning, CV Ansættelsesdato, stilling, arbejdsområde, arbejdstelefon Stamoplysninger: Navn, adresse, fødselsdato § 11 § 6

12 § 6: Almindelige oplysninger
Nr. 1: Samtykke, jf. § 3, nr. 8 Nr. 2: Nødvendig af hensyn til en aftale Nr. 3: Nødvendig af hensyn til retlig forpligtelse Nr. 4: Nødvendig for at beskytte den registreredes vitale interesser Nr. 5: Nødvendig af hensyn til udførelsen af en opgave i samfundets interesse Nr. 6: Offentlig myndighedsudøvelse Nr. 7: Interesseafvejning

13 Samtykke (§ 3, nr. 8) Def: En viljestilkendegivelse, der skal være
frivillig specifik Hvem må behandle? Hvilke oplysninger? Til hvilke formål? informeret Hvad vil oplysningerne blive brugt til? Ej krav om skriftlighed Skal være udtrykkeligt, ej stiltiende Ingen tidsbegrænsning Kan tilbagekaldes, jf. § 38

14 §§ 7-8: Følsomme oplysninger
Strengere betingelser Kan bl.a. behandles med samtykke

15 Den registreredes rettigheder
Pligt for den dataansvarlige til at give oplysninger ved indsamling (fx ved modtagelse af s Ret til indsigt i oplysninger om en selv (fx i s) Ret til at gøre indsigelse Ret til at kræve urigtige oplysninger rettet, slettet eller blokeret Ret til at modsætte sig automatiske afgørelser

16 Oplysningspligt §§ 28 og 29 Den dataansvarlige skal på eget initiativ oplyse om Den dataansvarliges identitet Formålene med behandlingen Eventuelle yderligere oplysninger Der gælder dog en række undtagelser

17 Hvordan skal oplysningerne gives?
Ingen formkrav, ej heller skriftlighed Oplysningspligten opfyldes af egen drift Kun pligt til underretning én gang ved løbende indsamling

18 Undtagelse fra oplysningspligt, § 28
Den registrerede er allerede bekendt med de oplysninger, der skal gives (§ 28, stk. 2) Konkret undtagelse af hensyn til offentlige eller private interesser (§ 30) Bemærk særligt § 30, stk. 2, nr. 5 og 6.

19 Undtagelser fra oplysnings-pligt, § 29
Den registrerede er allerede bekendt med de oplysninger, der skal gives (§ 29, stk. 2, 1. led) Registrering eller videregivelse udtrykkeligt fastsat ved lov (§ 29, stk. 2, 2. led) Underretning er umulig eller uforholdsmæssig vanskelig (§ 29, stk. 3) Konkret undtagelse af hensyn til offentlige eller private interesser (§ 30) Bemærk særligt § 30, stk. 2, nr. 5 og 6.

20 Den registreredes indsigtsret (egenacces) § 31
Den registrerede har på begæring krav på oplysning om Hvilke oplysninger (om den registrerede) der behandles Behandlingens formål Kategorierne af modtagere af oplysningerne Tilgængelig information om, hvorfra disse oplysninger stammer Kursus i persondataloven

21 Begrænsninger i indsigtsretten
Afgørende hensyn til offentlige eller private interesser, herunder hensynet til den pågældende selv Forskning og statistik Tidsmæssig begrænsning Kursus i persondataloven

22 Undtagelse fra indsigtsret som efter offentlighedsloven (§ 32, stk. 2)
Gælder for den offentlige forvaltning Oplysninger, der behandles som led i administrativ sagsbehandling, kan undtages fra indsigtsret efter persondataloven i samme omfang som efter regler i offentlighedsloven

23 Anmeldelse af behandlinger til Datatilsynet
Kursus i persondataloven

24 Offentlige myndigheder, kap. 12
HO: Alle behandlinger af personoplysninger skal anmeldes, jf. § 43 U: § 44: - Ikke-fortrolige oplysninger - Identifikationsoplysninger, herunder personnummer, oplysninger om betaling til og fra off. myndighed. U: Undtagelsesbekendtgørelse nr. 529, herunder undervisningssystemer Der skal tillige indhentes forudgående udtalelse, hvis følsomme oplysninger, jf. § 45, stk. 1.

25 Private, kap. 13 HO: Behandlinger af følsomme oplysninger skal anmeldes, jf. §§ samt undtagelsesbekendtgørelse nr. 534. Visse undtagelser, f.eks. oplysninger om forenings medlemmer (§ 49, stk. 1, nr. 6) Der skal tillige indhentes tilladelse til behandlingen, jf. § 50, stk. 1.

26 Behandlingssikkerhed
Der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes kommer til uvedkommendes kendskab misbruges behandles i strid med loven Dette er essensen af lovens §41 stk. 3. Mere præcist eller detaljeret siges det ikke i selve loven. Kursus i persondataloven

27 Sikkerhedsbekendtgørelse
Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (nr. 528) Almindelige bestemmelser Generelle sikkerhedsbestemmelser Supplerende sikkerhedsforanstaltninger for anmeldelsespligtige behandlinger Sikkerhedsbekendtgørelsen indeholder 3 kapitler. For enhver behandling af personoplysninger, uanset om der indgår fortrolige oplysninger eller ej, gælder bestemmelserne i bekendtgørelsens kap. 1 (almindelige bestemmelser) og i kapitel 2 (generelle bestemmelser). For behandlinger, som efter lovens kapitel 12 skal anmeldes til Datatilsynet, gælder ud over bestemmelserne i bekendtgørelsens kapitel 1 og 2 også bestemmelserne i kapitel 3 – supplerende sikkerhedsforanstaltninger for anmeldelsespligtige behandlinger. Sikkerhedsbekendtgørelsen er udgivet af Justitsministeriet. Den holder sig på et meget generelt niveau, selvom sikkerhedskravene er langt mere specificerede end i loven. Datatilsynet har udsendt en vejledning til sikkerhedsbekendtgørelsen. Heri gives på en række punkter en mere konkret vejledning til hvorledes sikkerhedsbekendtgørelsens krav kan opfyldes. Men det er ikke en generel og detaljeret sikkerhedshåndbog! Kursus i persondataloven

28 Generelle sikkerhedsbestemmelser
Der skal fastsættes særlige retningslinier for pc-arbejdspladser uden for den dataansvarliges lokaliteter Hjemmearbejdspladser Bærbare pc’er PDA’er og lign. Kapitel 2. Generelle bestemmelser Hjemmearbejdspladser: Lokal lagring af oplysninger. Oplysninger bør krypteres Lokal udskrivning af oplysninger Anden anvendelse af hjemme-pc. Hvis dette tillades, så særlige retningslinier. Fysisk sikkerhed Anvendelse af opkaldslinier. Lukkede brugergrupper, A-nummer verifikation, tilbagekald. Gælder ikke alene pc’er, men naturligvis også andet elektronisk udstyr, f. eks. PDA’er (Personal Digital Assistent) Bestemmelser om inddatamateriale. Må kun benyttes af personer, som er beskæftiget med inddatering. Skal opbevares aflåst. Skal slettes eller tilintetgøres, når det ikke længere skal anvendes til de formål, som behandlingen varetager. Bestemmelser om inddatamateriale gælder for materiale, som hverken indgår i en traditionel papirbaseret sag, herunder en patientjournal, eller i et manuelt register. Det samme gælder uddatamateriale. Kursus i persondataloven

29 Generelle sikkerhedsbestemmelser
Autorisationsordning Formel autorisation af brugere til anvendelse af nødvendige personoplysninger Teknisk adgangskontrol Oftest baseret på brugeridentifikation og password Kapitel 2. Generelle bestemmelser Bestemmelser om inddatamateriale. Må kun benyttes af personer, som er beskæftiget med inddatering. Skal opbevares aflåst. Skal slettes eller tilintetgøres, når det ikke længere skal anvendes til de formål, som behandlingen varetager. Bestemmelser om inddatamateriale gælder for materiale, som hverken indgår i en traditionel papirbaseret sag, herunder en patientjournal, eller i et manuelt register. Det samme gælder uddatamateriale. §12. Der skal træffes foranstaltninger for at sikre, at kun autoriserede brugere kan få adgang, og at disse kun kan få adgang til de personoplysninger, som de er autoriserede til. I sikkerhedsvejledningen anbefaler Datatilsynet, at password har en længde på mindst 8 tegn og opbygges af en blanding af tal og store og små bogstaver. Password bør skiftes mindst en gang om året. Ellers ikke flere detaljerede råd om passwords. Kursus i persondataloven

30 Brug af Internet Fortroligheden af personoplysninger, som transmitteres via internet, skal sikres ved hjælp af forsvarlig kryptering Fortrolige oplysninger og herunder CPR-nr. skal krypteres Ved følsomme oplysninger skal anvendes stærk kryptering Ved brug af Internet er der en risiko, for at oplysningerne læses og eventuelt ændres af uvedkommende, ligesom der er risiko for, at parterne i kommunikationen ikke er dem de udgiver sig for. I sikkerhedsvejledningen siges kun noget om sikring af fortrolighed, som skal ske ved forsvarlig kryptering. Personnummer og fortrolige oplysninger skal krypteres. Følsomme oplysninger skal krypteres ved stærk kryptering, baseret på en anerkendt algoritme. Ved stærk kryptering forstår vi p.t. 128 bits nøglelængde. Datatilsynet vil normalt betragte VPN- og MPLS-forbindelser som værende lige så sikre som faste telefonlinier. Typisk LAN til LAN sammenkobling Ingen detaljer om den konkrete tekniske løsning Kursus i persondataloven

31 Supplerende sikkerhedsforanstaltninger
Gælder generelt set kun for de fortro-lige oplysninger, som indgår i en given behandling Differentieret adgangskontrol Løbende kontrol af autorisationer Opfølgning på afviste adgangsforsøg Logning Kapitel 3. Supplerende sikkerhedsforanstaltninger Ad. § 15. Behandlinger, som omfatter oplysninger af fortrolig karakter, er - med de i lov om behandling af personoplysninger nærmere angivne undtagelser - anmeldelsespligtige og skal ske under iagttagelse af de supplerende sikkerhedsbestemmelser i dette kapitel. Udover disse oplysninger af fortrolig karakter, som indgår i en anmeldelsespligtig behandling, vil der typisk i behandlingen også indgå oplysninger, som ikke er af fortrolig karakter. Bestemmelserne i dette kapitel gælder ikke for anvendelse af disse ikke-fortrolige oplysninger og heller ikke for anvendelse af de fortrolige oplysninger, som efter lovens undtagelsesbestemmelser kan indgå i en behandling, uden at behandlingen er anmeldelsespligtig. §16. Autorisationer, jf. §11, skal angive, i hvilket omfang brugeren må forespørge, inddatere eller slette personoplysninger. Ad § 17, stk. 2. Efter denne bestemmelse skal der mindst en gang hvert halve år foretages kontrol af, at autorisationer ajourføres som foreskrevet ovenfor. Det er den dataansvarliges ansvar, at der fastlægges en passende kontrolprocedure. Denne procedure kan f.eks. indebære, at der i systemerne dannes en statistik over den enkelte brugers anvendelse af systemet, således at det kan konstateres, om der er udstedte autorisationer, som ikke er anvendt, og som derfor eventuelt kan inddrages. Ad §18. Kontrol med afviste adgangsforsøg. Lukning af anvendt brugerid. Der skal løbende ske opfølgning i myndigheden, men ikke krav om udskrivning af meddelelse herom. Kursus i persondataloven

Download ppt "Datatilsynets hjemmeside:"

Lignende præsentationer

Talsmandsseminar september 2010

Talsmandsseminar september 2010
Diverse spørgsmål vedr. Digital Post

Diverse spørgsmål vedr. Digital Post
Tilskudsordninger til finansiering af fosforvådområder Informationsmøder for kommuner 2012 Kristina Larsen NaturErhvervstyrelsen, Tønder.

Tilskudsordninger til finansiering af fosforvådområder Informationsmøder for kommuner 2012 Kristina Larsen NaturErhvervstyrelsen, Tønder.
Bekendtgørelse om samarbejde om sikkerhed og sundhed

Bekendtgørelse om samarbejde om sikkerhed og sundhed
Informationsteknologi B-A, HHX, 2005,

Informationsteknologi B-A, HHX, 2005,
Ved Martin Ib Bruun Kontakt:

Ved Martin Ib Bruun Kontakt:
Søren Sandfeld Jakobsen 20091 ”Cookies” – hvad siger loven?

Søren Sandfeld Jakobsen ”Cookies” – hvad siger loven?
Disposition Forvaltningsloven Partshøring Begrundelse i afgørelser

Disposition Forvaltningsloven Partshøring Begrundelse i afgørelser
Anmelderdatabasen Hvem kan få tilladelse til at tinglyse for andre?

Anmelderdatabasen Hvem kan få tilladelse til at tinglyse for andre?
Forældreindflydelse ift. børn med psykiatriske vanskeligheder

Forældreindflydelse ift. børn med psykiatriske vanskeligheder
Forudgående underretning om tvangsindgreb

Forudgående underretning om tvangsindgreb
1 Disposition Forvaltningsret – den 15. marts •Persondataloven, forvaltningsloven og offentlighedsloven - samspil •Rettighed for parter under sagsforberedelsen.

1 Disposition Forvaltningsret – den 15. marts •Persondataloven, forvaltningsloven og offentlighedsloven - samspil •Rettighed for parter under sagsforberedelsen.
Lovgivning og etik i forhold til unge og deres retsstilling

Lovgivning og etik i forhold til unge og deres retsstilling
Www.uni-c.dk 11. september 2001 IT-rettigheder v/Susanne Hjortgaard Christensen.

11. september 2001 IT-rettigheder v/Susanne Hjortgaard Christensen.
Hvad må jeg juridisk Skoleintra efter lovens bogstav

Hvad må jeg juridisk Skoleintra efter lovens bogstav
Sikkerhed og persondata mv

Sikkerhed og persondata mv
Psykoedukation for unge i OPUS-behandling

Psykoedukation for unge i OPUS-behandling
E-dag 2 Netikette Persondatalov

E-dag 2 Netikette Persondatalov
Overskrift her Navn på oplægsholder Navn på KU- enhed For at ændre ”Enhedens navn” og ”Sted og dato”: Klik i menulinjen, vælg ”Indsæt” > ”Sidehoved / Sidefod”.

Overskrift her Navn på oplægsholder Navn på KU- enhed For at ændre ”Enhedens navn” og ”Sted og dato”: Klik i menulinjen, vælg ”Indsæt” > ”Sidehoved / Sidefod”.
Hvilke regler skal iagttages, når man behandler personoplysninger i whistleblower-systemer Professor, dr.jur. Henrik Udsen henrik.udsen@jur.ku.dk.

Hvilke regler skal iagttages, når man behandler personoplysninger i whistleblower-systemer Professor, dr.jur. Henrik Udsen

Lignende præsentationer

Annoncer fra Google