Databeskyttelse og tv-overvågnning. Persondataforordning kontra videoovervågning

Transkript

1 Databeskyttelse og tv-overvågnning Persondataforordning kontra videoovervågning Kommuneseminar hos SCANVIEW 31. maj 2018 Revision. Skat. Rådgivning.

2 Biografi Lena Andersen Som konsulent i bruger Lena sine erfaringer og juridiske baggrund ved løsning af konkrete opgaver for 's kunder. Lena har tidligere været i Datatilsynet i mere end 25 år, hvor hun har haft en central rolle i forhold til både tilsyn og vejledning. I har Lena bl.a. beskæftiget sig med følgende opgaver vedrørende de nye databeskyttelsesregler, GDPR: rådgivning og information indlæg på informationsmøder rundt om i landet kursus i GDPR parathedsvurdering og handleplaner udvikling af GDPR-projektplan udvikling af skabeloner til understøttelse af implementering hos kunderne bistand til konkret implementering af GDPR hos kunder review af kunders hidtidige arbejde med implementering Konsulent (manager) i, ITRA GOV 2017 Konsulent/kontorchef i Register-/Datatilsynet Dommerfuldmægtig Københavns Byret Fuldmægtig i Registertilsynet Cand.jur. 1988

3 Biografi Claus Bartholin Claus Bartholin har arbejdet med it- og informationssikkerhed, undervisning og processer i mere end 22 år. Claus har bl.a. været IT-Chef hos Granzow, Management konsulent hos Microsoft og, Continual Service Improvement Manager hos PFA. Claus er i dag Senior Manager hos og arbejder med; Information Security Governance, Databeskyttelsesforordningen (GDPR), ledelse samt kontinuerlige forbedringer og forandringer, fx modenhedsvurdering, risikostyring, beredskabsplaner, test af beredskab og beskyttelse af kritisk infrastruktur beskyttelse (CIP). Indenfor Informationssikkerhed har Claus fokus på de ledelses- og styringsmæssige itsikkerhedsområder herunder: Governance og organisering Informationssikkerhedspolitikker - ISO27000 serien, NIST mfl. Outsourcing og kontraktforhandling Beredskabsplanlægning og test Ledelse og implementering af informationssikkerhedsrammeværk. Persondataforordningen (PII/Privacy) Claus er fagansvarlig for s databeskyttelsesopgaver og har bl.a. udviklet og underviser på s databeskyttelseskurser, hvor teori og krav omsættes til operationelle løsninger. CGEIT: Certified in the Governance of Enterprise IT 2008 MBCI: Business Continuity Institute 2008 CISM: Certified Information Security Manager 2006 CISSP: Certified Information Security Professional 2004 ITIL Service offerings and agreements (SOA), Service Transition.

4 Agenda Nye databeskyttelsesregler fra 25. maj 2018 Hvad dækker tvovervågningsloven? Områder der benyttes til almindelig færdsel Kommuners adgang til at foretage tv-overvågning Krav om beskyttelse af oplysningerne og rettigheder til de registrerede Krav om dokumentation mv. Ti steps, som kan bringe dig tæt på at efterleve GDPR

5 Nye databeskyttelsesregler fra 25. maj Databeskyttelsesforordningen finder anvendelse 2. Ny dansk databeskyttelseslov er trådt i kraft og har ophævet persondataloven 3. Ændringer af tv-overvågningsloven er trådt i kraft En del nye krav er kommet til Størstedelen af reglerne fra persondataloven er videreført i en opdateret form Hidtidig praksis fra Datatilsynet vil derfor fortsat være retningsgivende på de punkter, hvor der ikke er kommet nye regler

6 Hvad dækker tv-overvågningsloven? 1. Overvågning af personer. Dette omfatter også tilfælde, hvor der kun mere tilfældigt kommer personer ind i billedfeltet. 2. Overvågning, der er vedvarende eller gentages regelmæssigt Det vil også være tilfældet, hvis kameraet kun aktiveres, når der kommer en person ind i billedfeltet. 3. Ved hjælp af et fjernbetjent eller automatisk virkende kamera Alle tre betingelser skal være opfyldt, for at tv-overvågningsloven gælder Loven gælder, uanset om billederne bliver optaget/lagret eller ej

7 Områder der benyttes til almindelig færdsel Områder, der benyttes til almindelig færdsel omfatter fx Gade og vej (offentlig eller privat) Plads Fortov Sti Tunnel Passage Trappe Parkeringsareal For private dataansvarlige medfører tv-overvågningsloven som udgangspunkt et forbud mod tv-overvågning af sådanne områder Der gælder dog en række undtagelser

8 Kommuners adgang til at foretage tv-overvågning Områder, der benyttes til almindelig færdsel Hovedreglen: Kommuner kan ikke lovligt foretage tv-overvågning af frit tilgængelige områder og steder med almindelig færdsel Kilder: Forarbejder til tvovervågningsloven samt Datatilsynets praksis

9 Kommuners adgang til at foretage tv-overvågning Områder, der benyttes til almindelig færdsel Undtagelserne: 1. Overvågning af værdifulde skulpturer. Datatilsynet har forståelse for, at det i forhold til værdifulde (kommunalt ejet) genstande, fx en skulptur i et frit tilgængeligt område, kan være nødvendigt at foretage tv-overvågning i kriminalitetsforebyggende øjemed Datatilsynet accepterer overvågningen under forudsætning af: at andre mindre indgribende foranstaltninger ikke er tilstrækkelige, og at overvågning af arealer i direkte tilknytning til den værdifulde genstand så vidt muligt undgås eller i hvert fald begrænses mest muligt. Heri ligger, at antallet af kameraer begrænses, og at kameraerne fokuseres på genstanden

10 Kommuners adgang til at foretage tv-overvågning Områder, der benyttes til almindelig færdsel 2. Tryghedsfremmende tv-overvågning i tilknytning til et boligområde, der overvåges (tv-overvågningslovens 2 a) Der skal ske drøftelse med politiet Overvågningen skal ske i overensstemmelse med almindelige forvaltningsretlige regler og principper om bl.a. saglighed og proportionalitet Tv-overvågningen skal indrettes på en sådan måde, at der i videst muligt omfang tages hensyn til borgernes privatliv Kommunen skal leve op til regler i tv-overvågningsloven og databeskyttelseslovgivningen, som bl.a. skal sikre borgernes personoplysninger i forbindelse med tv-overvågning

11 Kommuners adgang til at foretage tv-overvågning Øvrige områder Datatilsynet har sagt: Princippet om proportionalitet (nu dataminimering) medfører, at tv-overvågning skal gennemføres på en sådan måde, at den virker mindst muligt integritetskrænkende for den almindelige borger Det betyder også, at det skal overvejes, om det ønskede formål kan nås med mindre indgribende midler end tv-overvågning Tv-overvågning bør kun finde sted, hvis der foreligger tungtvejende grunde for at iværksætte overvågningen Enkeltstående tyverier og hærværkstilfælde, problemer med henkastning af affald, mobning, chikane eller lignende er ikke nok til at begrunde tv-overvågning

12 Kommuners adgang til at foretage tv-overvågning Øvrige områder Datatilsynet har sagt: Tv-overvågning må alene benyttes, hvis der ikke er andre egnede løsningsmuligheder til at forhindre eller efterforske grovere kriminalitet Proportionalitetsprincippet fører til, at den tidsmæssige udstrækning af tv-overvågningen bør begrænses mest muligt På skoler og daginstitutioner bør overvågningen som hovedregel begrænses til udenfor åbningstiden, hvor der ikke er ansatte, elever eller andre faste brugere af lokalerne til stede

13 Kommuners adgang til at foretage tv-overvågning Øvrige områder Datatilsynet har sagt: Ved tv-overvågning af kommunens medarbejdere og andre, der fast udfører arbejde i lokalerne, skal disse have underretning efter reglerne om oplysningspligt Hvis der rent undtagelsesvist overvåges inden- eller udendørs arealer på skolerne og daginstitutionerne i den almindelige åbningstid, skal kommunen ligeledes give forældrene, de faste brugere samt de større børn meddelelse efter reglerne om oplysningspligt

14 Kommuners adgang til at foretage tv-overvågning Øvrige områder Datatilsynet har accepteret tv-overvågning af fx: Skoler Daginstitutioner Rådhuse Busser Servicekasser Uddannelsescentre Museer Kunsthaller Fritids- og ungdomsklubber Biblioteker

15 Kommuners adgang til at foretage tv-overvågning Øvrige områder Væresteder Plejecentre Ældrecentre Fritidscentre Idrætshaller Sports- og træningscentre Svømmehaller Idrætsparker og stadioner Kommunale arbejdsområder bl.a. materielgårde I forbindelse med tv-overvågning af de nævnte lokaliteter kan overvågningen også omfatte bygningernes facader og indgange.

16 Krav om beskyttelse af oplysningerne og rettigheder til de registrerede Brug af optagelser og billeder Videregivelse af optagelser og billeder Opbevaringsbegrænsning (sletning) Sikkerhed efter GDPR De registreredes rettigheder

17 Brug af optagelser og billeder Kommunen må kun anvende optagelser og billeder, der stammer tvovervågning, med hensyntagen til formålet med tv-overvågningen Hvis der er tale om tv-overvågning med henblik på at fremme trygheden for personer, som færdes i det tv-overvågede område, må kommunen kun behandle billedoptagelser med personoplysninger fra tv-overvågningen, hvis 1. den registrerede har givet sit udtrykkelige samtykke til behandlingen, eller 2. behandlingen sker med henblik på at fremme trygheden for personer, som færdes i det tv-overvågede område Se 4 d i lov om tv-overvågning

18 Videregivelse af optagelser og billeder Udlevering eller videregivelse af optagelser eller billeder skal ske under iagttagelse af tv-overvågningsloven Det er også videregivelse, når optagelserne vises til personer, der ikke arbejder i kommunen Kommunen må kun videregive optagelser og billeder i tre tilfælde: Hvis der er et klart og udtrykkeligt samtykke fra alle genkendelige personer på optagelserne eller billederne Videregivelsen sker til politiet i kriminalitetsopklarende øjemed Videregivelsen følger af lov

19 Opbevaringsbegrænsning (sletning) Optagelserne og alle billeder, der stammer tv-overvågningen, må gemmes i maksimalt 30 dage, hvorefter de skal slettes Herudover tilsiger almindelige databeskyttelseshensyn, at der sker sletning på et tidligere tidspunkt, hvis vedkommende dataansvarlige vurderer, at der ikke er behov for yderligere opbevaring Opbevaring i længere tid kan ganske undtagelsesvist forekomme, hvis det er nødvendigt af hensyn til behandling af en konkret tvist Den forlængede opbevaring forudsætter, at kommunen inden udløbet af 30 dages-fristen har underrettet den person, som tvisten vedrører, om opbevaringen Den registrerede har ret til efter anmodning at få udleveret en kopi af optagelserne

20 Sikkerhed efter GDPR Princippet om integritet og fortrolighed (5, 1, f) Påvise (5,2) + Ansvarlighed / Accountability (24) DB gennem design (25,1) DB gennem standardindstillinger (25, 2) Brug af databehandler (28) Behandlingssikkerhed (32) Notifikation af sikkerhedsbrud (33 & 34) Evt. konsekvensanalyse / DPIA (35)

21 GDPR indfører nye rettigheder og styrker eksisterende rettigheder Den registreredes rettigheder Ret til at blive informeret (art. 13 og 14) Ret til indsigt (art. 15) Ret til berigtigelse (art. 16) Ret til sletning (art. 17) Ret til begrænsning af behandling (art. 18) Ret til underretning (artikel 19) Ret til dataportabilitet (art. 20) Ret til indsigelse (art. 21) Rettigheder i forhold til automatiske individuelle afgørelser, herunder profilering (art. 22).

22 Krav om dokumentation mv. Dataansvarliges fortegnelser Samtykker Persondatameddelelser mv. Databehandleraftaler Risikovurdering og evt. DPIA Sikkerhedsbrud

23 Dataansvarliges fortegnelser Kommunens fortegnelse(r) skal som minimum indeholde oplysninger om følgende: Kommunens samt DPO ens navn og kontaktoplysninger Formålene med behandlingen Kategorierne af registrerede Kategorierne af personoplysninger Modtagere eller kategorier af modtagere af personoplysninger Tredjelandsoverførsler og grundlaget herfor (herunder dokumentation for fornødne garantier) Sletterutiner Tekniske og organisatoriske sikkerhedsforanstaltninger.

24 Eksempel på en fortegnelse vedrørende tv-overvågning (en privat virksomhed)

25

26 Samtykke Definition i artikel 4, nr. 11 En viljestilkendegivelse, der skal være: frivillig specifik - Hvem må behandle? - Hvilke oplysninger? - Til hvilke formål? informeret - Hvad vil oplysningerne blive brugt til? utvetydig NB! Husk også de ekstra krav til samtykker i art. 7 og 8.

27 Eksempel på samtykke template

28 Brug af standardtekster som led i opfyldelse af oplysningspligten Oplysningspligten er som udgangspunkt en individuel underretning om indsamling af oplysninger om en person Privatlivspolitikker kan hjælpe med til at opfylde oplysningspligten, så vi undgår at skrive individuelle breve, hver gang der er modtaget oplysninger om en person Privatlivspolitikkerne er med andre ord standardiserede tekster til brug for underretning af de registrerede om indsamling af oplysninger NB! Der kan stadig være situationer, hvor der modtages/indsamles oplysninger om en person, som ikke er dækket ind ved privatlivspolitikkerne.

29

30 Databehandleraftaler Krav om skriftlig kontrakt med databehandlere En dataansvarlig kan vælge at overlade det til en anden at udføre selve den praktiske behandling af personoplysninger på den dataansvarliges vegne = databehandler Databehandleren må ikke bruge de overladte oplysninger til andet end udførelsen af opgaven for den dataansvarlige Behandlingen ved en databehandler kræver, at der indgås en skriftlig aftale herom imellem den dataansvarlige og databehandleren (en såkaldt databehandleraftale)

31 Sandsynlighed Risikoanalyse Formålet med en risikovurdering er at undersøge og forstå det trusselsbillede, en organisation er udsat for ift. til en række trusler. Typisk Brud mod fortrolighed Brud mod integritet Manglende tilgængelighed Vurdering er baseret på sandsynlighed (erfaring) og Konsekvens (forretningsperspektiv). Resultatet er et riskmap, der viser, hvilke forretningsprocesser der kan medføre den største risici =et aktiv/service Konsekvens

32 Datatilsynets anbefalinger om sikkerhed ifm. tvovervågning (skrevet under persondataloven) Beskriv sikkerheden Begræns adgangen til optagelserne til nogle få personer Sørg for, at man kun kan få adgang til pc ere og andet elektronisk udstyr med en adgangskode Sørg for, at datamedier altid er beskyttede Beskyt data ved opkobling over internet Giv instruktion til medarbejdere, der håndterer personoplysninger Læs anbefalingerne med den fulde tekst (Googles cache)

33 Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden artikel 33 Uden unødig forsinkelse og om muligt senest 72 timer, efter at den dataansvarlige er blevet bekendt med bruddet Medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder Foretages anmeldelsen ikke inden for 72 timer, ledsages den af en begrundelse for forsinkelsen Databehandlere underretter den dataansvarlige uden unødig forsinkelse Den dataansvarlige skal dokumentere alle brud på persondatasikkerheden

34 Underretning om brud på persondatasikkerheden til den registrerede artikel 34 Når et brud sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, underretter den dataansvarlige uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden I visse tilfælde ikke nødvendigt at underrette den registrerede: a) tekniske og organisatoriske beskyttelsesforanstaltninger gør personoplysningerne uforståelige b) efterfølgende foranstaltninger c) uforholdsmæssig indsats Tilsynsmyndigheden kan kræve underretning

35 Ti steps, som kan bringe dig tæt på at efterleve GDPR

36 Ti steps, som kan bringe dig tæt på at efterleve GDPR NB: Punkter med rød tekst er umiddelbart de vigtigste 1. Skab overblik over jeres behandlinger af personoplysninger og udform fortegnelser over behandlingsaktiviteterne. Husk også at overveje, hvem der skal vedligeholde fortegnelserne udform evt. en procedure 2. Fastlæg, hvor i organisationen ansvaret for databeskyttelse er placeret afklar om I skal have en DPO. Udform fx en generel databeskyttelsespolitik, hvor det beskrives, hvordan efterlevelse af databeskyttelsesreglerne er organiseret 3. Gennemgå de retlige grundlag for jeres behandlinger og dokumenter konklusionerne. En simpel metode er at indsætte en ekstra kolonne i fortegnelsen, hvor hjemlerne skrives ind. Husk også at sørge for grundlag for eventuelle overførsler til lande uden for EU

37 Ti steps, som kan bringe dig tæt på at efterleve GDPR 4. Gennemgå og opdater jeres samtykkeerklæringer, så de lever op til forordningens krav. Skab sikkerhed for, at samtykker kan dokumenteres 5. Ajourføring og sletning: Fastlæg opbevaringsfrister for forskellige situationer, hvor personoplysninger håndteres, og indfør rutiner for sletning. Afklar hvordan I ajourfører forskellige typer af oplysninger, hvor længe de skal ajourføres, og hvordan I sørger for god datakvalitet 6. Sørg for, at I opfylder oplysningsforpligtelsen over for de registrerede. Brug evt. nogle informative persondatapolitikker til at dække en god del af jeres oplysningsforpligtelse husk i givet fald at tjekke, at privatlivspolitikken indeholder de oplysninger, der skal gives som led i opfyldelsen af oplysningspligten. Fastlæg evt. procedurer for opfyldelse af de registreredes øvrige rettigheder

38 Ti steps, som kan bringe dig tæt på at efterleve GDPR 7. Opdater eller fastsæt en it-sikkerhedspolitik for virksomheden. Se til, at der er indført passende tekniske og organisatoriske sikkerhedsforanstaltninger til imødegåelse af de risici, som jeres databehandlinger indebærer, og find ud af, hvad I kan gøre for at leve op til databeskyttelse gennem design og standardindstillinger. Dokumenter jeres vurdering og beslutninger, herunder hvilke tekniske og organisatoriske foranstaltninger der allerede er truffet og hvad som evt. skal indføres til supplement at de eksisterende foranstaltninger 8. Få overblik over, hvilke databehandlere der anvendes, og om der er indgået databehandlerkontrakter med alle. Se til, at databehandlerne garanterer en passende datasikkerhed, og at aftalerne lever op til forordningen. Fastlæg evt. procedurer for håndtering af databehandlere

39 Ti steps, som kan bringe dig tæt på at efterleve GDPR 9. Forbered jer på at kunne håndtere et brud på persondatasikkerheden. Få procedurer for fx hvem hos jer der skal kontaktes i tilfælde af sikkerhedsbrud 10. Sørg for instruktion og oplæring af alle medarbejdere, der håndterer personoplysninger.

40 Databeskyttelse skaber vi sammen... Hvis du ønsker yderligere information eller assistance, kan du rette henvendelse til: Claus Bartholin T: M: Denne publikation er udarbejdet alene som en generel orientering om forhold, som måtte være af interesse, og gør det ikke ud for professionel rådgivning. Du bør ikke disponere på baggrund af de oplysninger, der er indeholdt i denne publikation, uden at indhente specifik professionel rådgivning. Vi afgiver ingen erklæringer eller garantier (udtrykkeligt eller underforstået) hvad angår nøjagtigheden og fuldstændigheden af de oplysninger, der findes i publikationen, og, i det omfang loven tillader, accepterer eller påtager PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, dets aktionærer, medarbejdere og repræsentanter sig ikke nogen forpligtelse, ansvar eller agtpågivenhedspligt for eventuelle konsekvenser, som følger af, at du eller andre handler eller undlader at handle i tillid til de oplysninger, der findes i publikationen, eller for eventuelle beslutninger truffet på baggrund af publikationen PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab. Alle rettigheder forbeholdes. I dette dokument refererer til PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, som er et medlemsfirma af PricewaterhouseCoopers International Limited, hvor hver enkelt virksomhed er en særskilt juridisk enhed.