Sletteregler. v/rami Chr. Sørensen

Transkript

1 Sletteregler v/rami Chr. Sørensen 1

2 Generelt om retten til berigtigelse og sletning efter artikel Efter begæring (artikel 5, stk. 1, litra d) Skal angå den registrerede selv Ingen formkrav Den dataansvarlige skal tage stilling uden unødig forsinkelse senest en måned som udgangspunkt, jf. art. 12 2

3 Ret til berigtigelse artikel 16 Ret til efter begæring at få urigtige oplysninger om sig selv berigtiget Under hensyntagen til formålene med behandlingen ret til at få fuldstændiggjort ufuldstændige oplysninger bl.a. ved at fremlægge en supplerende erklæring 3

4 Ret til berigtigelse artikel 16 to kategorier 1. Sager hvor en oplysning objektivt set er forkert Giver sjældent anledning til problemer, da en dataansvarlig typisk ikke er interesseret i et forkert navn eller lignende på en sag eller i en database 2. Afgørelsessager hvor en subjektiv oplysning gøres gældende at være forkert Giver anledning til vanskeligere overvejelser Datatilsynet modtager en del klager i disse sager, fx sager om hjælpemidler, hvor en kommunal sagsbehandler vurderer, at en borger kan gå 400 meter, mens borgeren selv mener, man kun kan gå 50 meter 4

5 Ret til berigtigelse artikel 16 Datatilsynets praksis Datatilsynet har ikke kompetence til at vurdere rigtigheden af faglige vurderinger Løser sager på skriftligt grundlag, og det er derfor ikke muligt at afgøre bevismæssige spørgsmål kan ikke afhøre vidner mv. Ikke afgøre, hvad der er blevet sagt på et møde Den dataansvarlige skal sørge for, at det fremgår af sagen, hvis en borger/kunde er uenig i en given faglig vurdering eller indholdet af et referat mv., jf. artikel 16, 2. pkt. fremlægge supplerende erklæring 5

6 Ret til sletning artikel 17, stk. 1 Ret til efter begæring at få personoplysninger om sig selv slettet uden unødig forsinkelse hvis: A. Oplysningerne ikke længere er nødvendige B. Den registrerede trækker sit samtykke tilbage, og der ikke er et andet behandlingsgrundlag C. Den registrerede gør berettiget indsigelse D. Oplysningerne er blevet behandlet ulovligt E. Oplysningerne skal slettes for at overholde en retlig forpligtelse efter EU-retten eller national ret 6

7 Ret til sletning artikel 17, stk. 1 Når den dataansvarlige er forpligtet til at slette personoplysningerne betyder det, at oplysningerne skal slettes på en sådan måde, at de ikke kan genskabes. Man skal derfor også slette de pågældende oplysninger fra back-up mv., hvis dette er teknisk muligt. Under alle omstændigheder skal man sikre, at man ved genetablering af data fra back-up fjerner data, der er slettet i driftssetuppet Det er vigtigt, at man er opmærksom på, at retten til at få slettet personoplysninger ikke ændrer ved, at man også som dataansvarlig af egen drift er forpligtet til at slette personoplysninger, når det ikke længere er nødvendigt for dig at have dem af hensyn til de formål, hvormed oplysningerne behandles. Dette følger af databeskyttelsesforordningens artikel 5, stk. 1, litra e 7

8 Ret til sletning artikel 17, stk. 1 På denne baggrund bør man fastsætte slettefrister for de behandlinger af personoplysninger, som den dataansvarlige foretager. Man kan fx fastsætte slettefrister for behandling af oplysninger om stillingsansøgere, behandling af oplysninger om ansatte og behandling af oplysninger i forbindelse med sagsbehandling mv. Den registreredes ret til sletning får derfor som udgangspunkt kun praktisk betydning i de tilfælde, hvor den pågældende anmoder om sletning før det tidspunkt, hvor oplysningerne om den registrerede skulle have været slettet som følge af de slettefrister, den dataansvarlige selv har opstillet i forhold til den pågældende behandling 8

9 Underretning af andre dataansvarlige artikel 17, stk. 2 Den dataansvarlige skal ved sletning under hensyntagen til den teknologi, der er tilgængelig og omkostningerne herved træffe rimelige foranstaltninger, herunder tekniske, for at underrette de dataansvarlige, som behandler oplysningerne, om, at den registrerede har anmodet disse dataansvarlige om at slette alle links til/kopier/gengivelser af de pågældende oplysninger 9

10 Undtagelser artikel 17, stk. 3 Sletning ikke nødvendig, hvis: For at overholde en retlig forpligtelse, som den dataansvarlige er underlagt/for at udføre en opgave i samfundets interesse/som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt Til arkivformål, videnskabelige eller historiske forskningsformål eller statistik For at et retskrav kan fastlægges, gøres gældende eller forsvares 10

11 Slettefrister Slettefrister skal angives for de forskellige kategorier af oplysninger, man behandler. Der lægges med andre ord ikke op til, at man skal angive en slettefrist for hele behandlingen Det er væsentligt at hæfte sig ved, at forordningen opstiller et generelt krav om, at man som dataansvarlig ikke opbevarer personoplysninger på en måde, der giver mulighed for at identificere den registrerede i længere tid end det, der er nødvendigt til behandlingsformålet (princippet om opbevaringsbegrænsning). Det betyder, at man løbende skal vurdere, om det saglige formål med behandlingen er opfyldt, og hvorvidt oplysningerne derfor skal slettes 11

12 Slettefrister I de situationer, hvor der er fastsat generelle slettefrister, følger det dog af Datatilsynets nuværende praksis, at den dataansvarlige ikke har pligt til løbende at gennemgå samtlige sager, dokumenter mv. med henblik på at sikre, at der ikke opbevares oplysninger i strid med princippet om opbevaringsbegrænsning. Det forudsætter, at den dataansvarlige har procedurer, som sikrer, at der sker sletning i overensstemmelse med fastsatte frister Angivelse af slettefrister er således blot et krav om, at man dokumenterer de overvejelser, man som dataansvarlig i forvejen skal gøre sig 12

13 Behandlingssikkerhed særligt organisatorisk 13

14 Behandlingssikkerhed artikel 32 Bestemmelsen er udtryk for den såkaldte risikobaserede tilgang: den dataansvarlige skal sikre rette sikkerhedsniveau Al behandling af personoplysninger er forbundet med risici i en eller anden grad Der skal etableres et sikkerhedsniveau, som passer til disse risici ved hjælp af passende tekniske og organisatoriske foranstaltninger, som skal gennemføres af den dataansvarlige og databehandlere Forordningen foreskriver ikke, hvilke præcise foranstaltninger, der skal træffes Valget ligger i første række hos den dataansvarlige og eventuelle databehandlere Den dataansvarlige er ansvarlig for og skal kunne påvise og dokumentere, at personoplysninger behandles sikkerhedsmæssigt forsvarligt (art. 24, stk. 1) 14

15 Eksempler på sikkerhedstiltag Foranstaltninger til sikring af, at det er muligt efterfølgende at undersøge og fastslå, om og af hvem der er behandlet personoplysninger (logning) Frivillig udpegning af databeskyttelsesrådgiver, jf. databeskyttelsesforordningens artikel 37, stk. 4 Fastsættelse af interne regler om organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer 15

16 Eksempler på sikkerhedstiltag Foranstaltninger til sikring af, at alene personer, som den dataansvarlige autoriserer hertil, fordi det er nødvendigt, kan få adgang til personoplysninger Fastsættes retningslinjer for den dataansvarliges tilsyn med overholdelsen af sikkerhedsforanstaltninger, herunder løbende opfølgning og revision 16

17 Eksempler på sikkerhedstiltag Fornøden instruktion fra den dataansvarliges side til de medarbejdere, som behandler personoplysningerne Foranstaltninger på steder, hvor der foretages behandling af personoplysninger henblik på at forhindre uvedkommendes adgang til oplysningerne Pseudonymisering af personoplysninger Kryptering af personoplysninger 17

18 Eksempler på sikkerhedstiltag Sikring af vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og tjenester i forbindelse med behandling af personoplysninger Sikring af sikkerheden i behandlingen, etablering af mekanismer for regelmæssig revision, vurdering og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger Registrering af afviste adgangsforsøg og tekniske foranstaltninger, der kan sikre blokering for yderligere forsøg, hvis det er nødvendigt 18

19 Konkrete eksempler Tekniske foranstaltninger: Arbejdsbetinget adgang Al datatransmission og lagring af data sker krypteret Kun de X personer, der aktuelt er sikkerhedsgodkendt i henhold til sikkerhedscirkulæret XXXX, har adgang til de elektronisk registrerede oplysninger De elektronisk registrerede oplysninger er lagret på en server, hvorpå der er installeret aktive virusscannere med henblik på løbende automatisk virustjek mv. Der er etableret backup og genetableringsprocedure for alle servere 19

20 Konkrete eksempler Tekniske foranstaltninger fortsat: Der er alene adgang til arbejdsstationer med individuelt brugernavn og password Arbejdsstationer har screensaver password, og der er installeret antivirus program Adgang er baseret på bruger id og et personligt password, der er minimum X antal tegn Der foretages kontrol med afviste adgangsforsøg Der bruges VPN og kryptering i forbindelse med fjernarbejdspladser og andre mobile devices 20

21 Konkrete eksempler Organisatoriske foranstaltninger: Medarbejdertræning og videreuddannelse Certificering af medarbejdere, der arbejder med persondata Etablering af procedurer og politikker for behandling og kommunikation af personoplysninger 21

22 Databeskyttelse gennem design og standardindstillinger 22

23 Databeskyttelse gennem design artikel 25, stk. 1 Indebærer en overvejelsesforpligtelse og en håndteringsforpligtelse for den dataansvarlige til allerede i forberedelsesfasen at indtænke de relevante foranstaltninger til sikring af overholdelse af databeskyttelsesforordningen Artikel 25, stk. 1 indebærer en pligt for den dataansvarlige til at inddrage tiltag, der konkret fremmer en effektiv implementering af forordningens databeskyttelsesprincipper i artikel 5 og dens øvrige regler Artikel 32 om behandlingssikkerhed m.fl. skal i forvejen overholdes fra dag 1 23

24 Databeskyttelse gennem design artikel 25, stk. 1 Fremtidige it-systemer skal designes med henblik på effektiv implementering af databeskyttelsesprincipper fx dataminimering Fx ved at stille krav herom til leverandøren af et it-system 24

25 Databeskyttelse gennem design artikel 25, stk. 1 Der er ikke krav om, at eksisterende systemer skal re-designes Større ændringer i eksisterende systemer kan kræve tilpasninger: OBS: Organisatoriske foranstaltninger vil kunne være tilstrækkelige, hvis dette kan etablere et passende sikkerhedsniveau for behandlingen af personoplysninger, fx interne procedurer og undervisning af ansatte OBS: Tekniske ændringer ses i forhold til implementeringsomkostninger 25

26 Databeskyttelse gennem standardindstillinger artikel 25, stk. 2 Fremtidige systemers standardindstillinger skal indstilles, så de fremmer dataminimering og formålsspecifik behandling Eksisterende it-systemer hvor standardindstillingerne ikke kan ændres: Ingen nye krav til it-systemet pr. den 25. maj 2018 Eksisterende it-systemer hvor standardindstillingerne kan ændres: Dataansvarlige er pr. den 25. maj 2018 forpligtet til at ændre systemets standardindstillinger på en måde, der understøtter forordningens krav om bl.a. formålsspecifik behandling og dataminimering 26