Ny Persondataforordning mv.

Transkript

1 Ny Persondataforordning mv. Agri Nord, 23. maj 2018 Jacob Langvad Nielsen, advokat og specialkonsulent SEGES, Jura & Skat

2 Proces mod 25. maj 2018 Persondataforordningen er vedtaget. Skal anvendes direkte fra den 25. maj 2018 Viderefører principperne og behandlingsbetingelserne fra Direktiv 95/46/EF Betænkning nr udgivet 24. maj 2017 (Ca sider). Kan købes for 300 kr. på JM s hjemmeside Diverse vejledninger udgives på Lovforslag til ny persondatalov (databeskyttelsesloven) er fremsat 25. oktober 2017 NB: Bøder op til 4% af global omsætning

3 Hvad er persondata? Personoplysninger: Enhver form for information om en identificeret eller identificerbar, fysisk person (den registrerede) Ved identificerbar, fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator. Navn, adresse, , kreditkortnummer, foto, fødselsdato, race, seksuel overbevisning, religiøs overbevisning, videoovervågning, løn, straffeattest, biometriske oplysninger, pas nr., medarbejder ID, oplysninger om strafbare forhold, sociale problemer, sociale forhold, politisk overbevisning, fagforeningsforhold, CPR-nr., elektroniske spor, GPS-oplysninger, rejseoplysninger, telefonnummer, genetisk information, nummerplader.

4 Kategorier af personoplysninger Almindelige oplysninger (navn, adresse, , økonomi, sociale forhold, stillingsforhold mm). Særlige almindelige oplysninger: Straffedomme CPR-nr Følsomme oplysninger / Særlige kategorier (race/etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforening, genetiske data, biometriske data, helbredsoplysninger, seksuelle forhold/seksuel orientering).

5 Kategorier af personoplysninger

6 Hvad er en behandling? Behandling: Enhver aktivitet som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse. NB: Privatpersoners behandling af personoplysninger er i mange tilfælde helt undtaget fra regulering i persondataforordningen

7 Hvad er virksomhedens rolle? Dataansvarlig: En fysisk eller juridisk person, offentlig myndighed, institution eller andet organ, som alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger. Databehandler: En fysisk eller juridisk person, offentlig myndighed, institution eller andet organ, der behandler personoplysninger på den dataansvarliges vegne.

8 Grundlæggende principper for behandling art 5 (god databehandlingsskik) a) Persondata skal behandles lovligt, rimeligt og gennemsigtigt b) Behandlingen/indsamlingen skal ske til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenlig med disse formål (Statistik er ikke uforenelig hermed) c) Persondata skal være relevant, tilstrækkeligt og begrænset til det, som er nødvendigt i forhold til formålet Need to know og ikke nice to know (dataminimering) d) Persondata skal være korrekt og ajourført e) Opbevares på en måde, så det ikke er muligt at identificere de registrerede i et længere tidsrum, end det er nødvendigt i forhold til det/de saglige formål, som forfølges med behandlingen f) Persondata skal behandles, så der er tilstrækkelig sikkerhed for de pågældende personoplysninger Stk. 2: Den dataansvarlige skal kunne påvise, at stk. 1 er overholdt. (Før skulle man alene sikre det)

9 Hjemmelsgrundlaget Art 6: Hjemmel til behandling af almindelige personoplysninger Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende: 1. Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger der træffes på den registreredes anmodning forud for indgåelse af en kontrakt. 2. Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige. 3. Behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn. 4. Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.

10 Art 9: Hjemmel til behandling af følsomme (særlige kategorier) oplysninger Behandling af personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering er forbudt. Stk. 1 finder ikke anvendelse, hvis et af følgende forhold gør sig gældende: Den registrerede har givet udtrykkeligt samtykke til behandling af sådanne personoplysninger til et eller flere specifikke formål Behandling er nødvendig for at overholde den dataansvarliges eller den registreredes arbejds-, sundheds- og socialretlige forpligtelser og specifikke rettigheder, for så vidt den har hjemmel i EUretten eller medlemsstaternes nationale ret eller en kollektiv overenskomst i medfør af medlemsstaternes nationale ret Behandling er nødvendig, for at retskrav kan fastlægges, gøres gældende eller forsvares

11 De registreredes rettigheder - oplysningspligt Artikel 13 og 14 Hvis der indsamles data hos den registrerede, skal den registrerede blandt andet have følgende oplysninger, medmindre den registrerede allerede er bekendt med oplysningerne. Identitet på og kontaktoplysninger for den dataansvarlige og dennes eventuelle repræsentant Kontaktoplysninger for en eventuel databeskyttelsesrådgiver Formålene med den behandling, som personoplysningerne skal bruges til, og retsgrundlaget for behandlingen Kategorier af modtagere Tidsrum hvor længe opbevares det principperne herfor Oplysninger om retten til indsigelse, indsigt, berigtigelse, dataportabillitet, og klagemulighed

12 De registreredes rettigheder - Indsigtsret Artikel 15 Den registrerede har ret til at få den dataansvarliges bekræftelse på, om personoplysninger om den pågældende behandles og i givet fald adgang til personoplysningerne. Skal gives elektronisk, hvis anmodningen gives elektronisk Gratis dog rimeligt gebyr baseret på administrative omkostninger for yderligere anmodninger (grundløse eller overdrevne) Frist for besvarelse på 1 måned kan dog forlænges

13 Hvor længe må man gemme personoplysninger? Hverken forordningen eller lovgivningen giver et konkret svar herpå! Så længe det er nødvendigt til de formål, som oplysningerne blev indsamlet til. Har den dataansvarlige et eller flere saglige formål med en fortsat opbevaring jf. Art Lønkrav forældes efter 5 år - Lovbestemt pligt til at opbevare oplysninger f.eks. Forordning om identifikation af heste

14 De registreredes rettigheder Ret til at blive glemt Artikel 17 Den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse, hvis et af følgende forhold gør sig gældende: A) Personoplysningerne er ikke længere nødvendige til at opfylde de formål, hvortil de blev indsamlet eller på anden vis behandlet. Den registrerede trækker det samtykke, der er grundlaget for behandlingen tilbage, og der ikke er et andet retsgrundlag for behandlingen.. Stk. 3: Stk. 1 finder ikke anvendelse i det omfang denne behandling er nødvendig: E) for, at retskrav kan fastlægges, gøres gældende eller forsvares.

15 PAUSE

16 Følgende BØR I have styr på? 1. Overblik over hvilke personoplysninger du/i behandler 2. God databehandlingsskik 3. Ansvarlighedsprincippet / dokumentationsforpligtelsen I skal kunne redegøre for, hvordan I overholder forordningen 4. Oplysningsforpligtelsen overfor de registrerede 5. I hvilke situationer skal der laves databehandleraftaler?

17 1) Hvilke personoplysninger behandler en landbrugsvirksomhed typisk? Kategorier af registrerede hos en landbrugsvirksomhed (er typisk) egne medarbejdere kunder og personer ansat ved kunder Samarbejdspartnere - forpagtningskontrakter boligudlejning Specielt vedrørende landbrugsvirksomheder Oplysninger om enkeltmandsvirksomheder I/S: Hvis interessenterne er fysiske personer, ligestilles oplysningerne om interessentskabet med oplysningerne om enkeltmandsvirksomheder og vil derfor være omfattet Virksomhedsoplysninger, det vil sige oplysninger om juridiske personer såsom A/S, ApS, kommanditselskaber, fonde osv. er ikke omfattet

18 2) Har I god databehandlingsskik?

19 2) God databehandlingsskik Hvordan opbevarer i personoplysninger? Særlig fokus på personaleoplysninger!! Papirform: Kartoteker, ringbind, mapper bør (i princippet) være aflåst, når de ikke er i brug!! Elektronisk opbevaring: Opbevar oplysninger om hver enkelt person i en elektronisk mappe og sørg for, at der skal anvendes adgangskode for at få adgang til oplysningerne Hvem har adgang til persondata? Adgang til oplysningerne bør begrænses til personer, som har et sagligt behov for adgang. Adgang bør begrænses til så få personer som muligt. Medarbejdere, der behandler personaleoplysninger skal have instruktion i, hvordan oplysningerne behandles og beskyttes. Adgangskoder børe være personlige udskiftes minimum hvert halve år

20 2) God databehandlingsskik + indsigtsretten Sikkerhedskrav: PC koblet til internettet bør have opdateret firewall og virusbeskyttelse Når medarbejder, eller andre registrerede, udnytter indsigtsretten Virksomhed skal i papirform på let forståelig måde udlevere oversigt over registrerede personoplysninger samt informere om følgende: 1. hvilke oplysninger der behandles 2. behandlingens formål God databehandlingsskik og nedfældet persondatapolitik letter opfyldelsen af anmodninger om indsigtsret 3. Oplysning om, hvem der har modtaget oplysningerne 4. Oplysning om, hvorfra oplysninger stammer

21 3) Ansvarlighedsprincippet / dokumentationsprincippet Virksomhed skal selv påse, at forordningen overholdes Persondatapolitik kan beskrive, hvordan virksomheden har tænkt sig at overholde forordningen. Dvs. dels en beskrivelse af virksomhedens databehandlingskik i form af interne procedurer for opbevaring, behandling mv. og dels en beskrivelse af overholdelsen af øvrige væsnetlige principper.

22 4) Oplysningsforpligtelsen overfor de registrerede - Oplyses i skriftlig persondatapolitik 1. Formål med behandlingen 2. Kategorier af personoplysninger 3. Behandlingsgrundlaget 4. Videregivelse af oplysninger 5. Opbevaring af dine oplysninger, herunder information om længde 6. Registreredes rettigheder

23 1) Formål med behandlingen (Eksempel - persondatapolitik) Vi anvender dine personoplysninger til følgende formål: 1. Opfyldelse af ansættelseskontrakten, herunder udbetaling af løn 2. Opfyldelse af forpagtningsaftale og lejeaftale 3. Levering af ydelse 4. Opfyldelse af samarbejdsaftale

24 2) Kategorier af personoplysninger (Eksempel - persondatapolitik) Vi indsamler følgende oplysninger om dig til følgende formål: Opfyldelse af ansættelseskontrakt Almindelige personoplysninger: Navn, adresse, , telefonnummer Personfølsomme oplysninger: Helbredsoplysninger CPR.nr Overvågning via GPS, når du benytter virksomhedens køretøjer, maskiner mv. Opfyldelse af forpagtningsaftale, lejeaftale mv. Almindelige personoplysninger: Navn, CVR / CPR-nr., adresse, , telefonnummer.

25 3) Behandlingsgrundlag (Eksempel - persondatapolitik) Vi behandler dine personoplysninger som beskrevet baseret på følgende behandlingsgrundlag: Opfyldelse af ansættelseskontrakt Behandlingsgrundlaget er den ansættelsesaftale, som du har indgået med os. Overholdelse af lovgivning, evt. overenskomst Indberetning af løn, a-skat mv. Overholde arbejds-, sundheds- og socialretlige forpligtelser Behandling er nødvendig, for at retskrav kan gøres gældende eller forsvares Det følger af den legitim interesse

26 4) Videregivelse af oplysninger (Eksempel - persondatapolitik) Vi videregiver dine personoplysninger til følgende kategorier af modtagere: Vi videregiver dine personlige oplysninger til offentlige myndigheder i forbindelse med udbetaling af løn, indberetning af a-skat, arbejdsmarkedsbidrag, feriepenge mv. Vi videregiver dine personlige oplysninger til offentlige myndigheder med henblik på at opfylde lovmæssige forpligtelser, fx i henhold til lov om sygedagpenge. Vi videregiver dine personlige oplysninger til en databehandler, som vi har indgået en lønadministrations-aftale med. Dette sker i henhold til en mellem os og databehandleraftaleren indgået databehandleraftale

27 5) Opbevaring af oplysninger (Eksempel - persondatapolitik) Vi vil som udgangspunkt opbevare dine personoplysninger vedrørende: Almindelige oplysninger i op til 5 år efter din fratræden Personfølsomme oplysninger i op til 5 år efter din fratræden CPR-nr. i op til 5 år efter din fratræden Hvis der foreligger en saglig begrundelse og en legitim interesse, kan personoplysninger behandles og opbevares i en længere periode

28 6) Den registreredes rettigheder (Eksempel - persondatapolitik) Du har ret til at anmode om indsigt, berigtigelse eller sletning af dine personoplysninger. Hvis behandlingen af dine personoplysninger er baseret på dit samtykke, har du ret til at tilbagekalde dit samtykke til enhver tid. Din tilbagekaldelse vil ikke have betydning for lovligheden af behandlingen foretaget inden din tilbagekaldelse af dit samtykke. Du har ret til at modtage de personoplysninger, som du selv har afgivet, i et struktureret, almindeligt anvendt og maskinlæsbart format. Du kan altid indgive en klage til en databeskyttelsestilsynsmyndighed, f.eks. Datatilsynet.

29 Spørgsmål?