Persondata og whistleblowerordninger. Nyhedsbrev

Transkript

1 Persondata og whistleblowerordninger Nyhedsbrev

2 LOVFORSLAG FREMSAT TIL "DEN NYE PERSONDATALOV" Den 25. oktober 2017 fremsatte justitsminister Søren Pape Poulsen et forslag til den nye persondatalov. Forslaget indeholder enkelte ændringer i forhold til det forslag, som blev sendt i høring. Lovforslaget med det officielle navn "forslag til lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger" læner sig tæt op ad det forslag, som blev sendt i høring. Der er dog blevet plads til et par enkelte ændringer. De fleste af ændringerne er af "lovteknisk karakter" og dermed uden større indholdsmæssig betydning for retsstillingen. Enkelte ændringer må dog formodes at få en betydning for retstillingen på området. Her kan særligt henvises til ændringerne i 10, 13, 22, 36 og indeholder f.eks. en bestemmelse om, at offentlige myndigheder og institutioner m.v., som er omfattet af forvaltningslovens 1, stk. 1 og 2, kan straffes i anledning af overtrædelser, der begås ved udøvelse af den virksomhed, der ikke svarer til eller kan sidestilles med virksomhed udøvet af private. Vi følger naturligvis lovprocessen tæt og sørger for løbende at opdatere jer om udviklingen. Se lovforslaget til den nye persondatalov 2/10

3 ARTIKEL 29-GRUPPEN UDGIVER TRE NYE VEJLEDNINGER OM DATABESKYTTELSES FORORDNINGEN Den 3. oktober 2017 udgav Artikel 29-gruppen tre nye vejledninger om henholdsvis automatiske afgørelser og profilering, anmeldelse af brud på persondatasikkerheden samt administrative bøder. Artikel 29-gruppen har sendt vejledningerne i høring, og der er mulighed for at indgive bemærkninger indtil den 28. november Vejledning om automatiske afgørelser og profilering Databeskyttelsesforordningen adresserer specifikt automatiske afgørelser og profilering, da disse metoder bliver brugt i et voksende antal sektorer, herunder områder som bank og finansiering, sundhed, skat, forsikring og direkte markedsføring. Artikel 29-gruppen, der blandt andet består af repræsentanter fra de nationale databeskyttelsestilsynsmyndigheder, herunder det danske Datatilsyn, anerkender i vejledningen, at automatiske afgørelser og profilering kan være en gavnlig fremgangsmåde for fysiske personer såvel som for økonomien og samfundet generelt, da metoderne bidrager til øget effektivitet og samtidig er ressourcebesparende. Automatiske afgørelser og profilering kan dog udgøre en væsentlig risiko for fysiske personers rettigheder og frihed, hvorfor databeskyttelsesforordningen indeholder bestemmelser, som har til formål at adressere risikoen. Vejledningen er delt op i fem kapitler og forholder sig til følgende: Definition af begreberne automatiske afgørelser og profilering samt eksempler, som illustrerer anvendelsen af begreberne i praksis De specifikke og generelle bestemmelser i databeskyttelsesforordningen, som vedrører automatiske afgørelser og profilering Problemstillingen vedrørende behandling af børns data ved profilering Nødvendigheden af en konsekvensanalyse i forbindelse med automatiske afgørelser og profilering. Til sidst i vejledningen har Artikel 29-gruppen vedlagt good practice -anbefalinger. Se vejledningen: Guidelines on automated individual decision-making and profiling for the purposes of Regulation Databeskyttelsesforordningen indeholder et krav om, at den dataansvarlige skal anmelde et sikkerhedsbrud til den relevante myndighed, som i Danmark er Datatilsynet. Hvis der er sandsynlighed for, at et sikkerhedsbrud vil indebære en høj risiko for de berørte personer, skal disse personer også underrettes om bruddet. Vejledningen uddyber, hvordan den dataansvarlige skal anmelde og underrette 3/10

4 sikkerhedsbrud under databeskyttelsesforordningen. Vejledningen er delt op i seks kapitler og forholder sig til følgende: Begrebet brud på persondatasikkerheden, herunder hvilke typer brud der kan være tale om samt mulige konsekvenser ved et brud på persondatasikkerheden Anmeldelse til den relevante tilsynsmyndighed, herunder en gennemgang af betingelserne for anmeldelse og hvilke informationer, der skal gives til myndigheden Betingelserne for underretning til de berørte personer Begrebet risiko, herunder hvordan risikoen skal vurderes Dokumentation for sikkerhedsbruddet og hvilken rolle, databeskyttelsesrådgiveren har i denne sammenhæng Andre forpligtelser ved sikkerhedsbrud end dem, der direkte følger af databeskyttelsesforordningen. Til vejledningen er der også vedlagt eksempler og en flow-chart, som illustrerer vejledningens anvendelse i praksis. Se vejledningen: Guidelines on Personal data breach notification under Regulation 2016/679, wp250 VEJLEDNING OM ADMINISTRATIVE BØDER Endelig har Artikel 29-gruppen udgivet en vejledning til brug for de nationale datatilsyn. Vejledningen har til formål at afklare, hvilke momenter og principper, som de nationale tilsynsmyndigheder skal iagttage ved sanktionering af en overtrædelse af databeskyttelsesforordningen. Se vejledningen: Guidelines on the application and setting of administrative fines for the purposes of the Regulation 2016/679 Kromann Reumert følger Artikel 29-gruppens arbejde og udsender nyhedsbreve, når der vedtages nye relevante vejledninger eller tilpasninger til de eksisterende. Læs mere om Artikel 29-gruppens arbejde på deres hjemmeside, hvor de nye vejledninger også kan tilgås. 4/10

5 FØRSTE EVALUERING AF PRIVACY SHIELD-AFTALEN: FUNGERER SOM TILSIGTET, MEN DER ER PLADS TIL FORBEDRINGER EU-US Privacy Shield-aftalen, som siden 1. august 2016 kan anvendes til overførsel af personoplysninger fra EU til amerikanske virksomheder, som er certificeret under Privacy Shield-aftalen, har nu bestået sin første eksamen. Den 18. oktober 2017 udgav EU-Kommissionen den første årlige rapport, hvori Privacy Shield-aftalen evalueres. Rapporten afspejler EU-Kommissionens vurdering af implementeringen og håndhævelsen af Privacy Shield-aftalen gennem aftalens første år. Generelt set viser rapporten, at Privacy Shield-aftalen sikrer et tilfredsstillende niveau for databeskyttelse. EU-Kommissionen vurderer, at de amerikanske myndigheder har garanteret de nødvendige strukturer og procedurer for at sikre en korrekt implementering af aftalen. Ifølge rapporten er der dog også plads til forbedringer. EU-Kommissionen har derfor lavet en liste med anbefalinger til forbedringer møntet på de amerikanske myndigheder. Se rapporten: Report on the Privacy Shield Annual Review Yderligere information kan findes på EU-Kommissionens hjemmeside. 5/10

6 NYT MATERIALE OM FORTOLKNING AF DATA BESKYTTELSESFORORDNINGEN ER NU UDGIVET I DANMARK Datatilsynet har i samarbejde med Justitsministeriet, Erhvervs- og Digitaliseringsstyrelsen udgivet to nye vejledninger til databeskyttelsesforordningen. Den ene uddyber og forklarer de bestemmelser, der regulerer, hvornår oplysninger må overføres til lande eller organisationer uden for EU's grænser. Den anden vejledning søger at afklare, hvornår der er behov for at udpege en databeskyttelsesrådgiver, og hvad rollen som databeskyttelsesrådgiver indebærer. Vejledning om overførsel af personoplysninger til tredjelande Vejledningen om overførsel af personoplysninger til tredjelande søger i overordnede træk at forklare, hvornår der er tale om en overførsel, og hvad man som offentlig eller privat aktør skal være opmærksom på, før man overfører personoplysninger til lande uden for EU. Vejledningen indeholder mange eksempler og illustrationer, som søger at forklare reglerne på en enkelt måde og må derfor anses for et godt supplement til den mere tilbundsgående gennemgang af reglerne på dette område i Justitsministeriets betænkning nr. 1565/2017 om databeskyttelsesforordningen. Læs vejledningen om overførsel af personoplysninger til tredjelande Vejledning om databeskyttelsesrådgivere Vejledningen om databeskyttelsesrådgivere gennemgår, hvilken funktion en databeskyttelsesrådgiver har, hvilke krav der stilles til denne rolle, og hvilke aktører der har pligt til at udpege en databeskyttelsesrådgiver. Denne vejledning indeholder også en række eksempler, hvilket har været efterspurgt, da området har været omdiskuteret, og fordi der i et vist omfang har hersket en del usikkerhed hos mange virksomheder om, hvilken betydning reglerne om databeskyttelsesrådgiveren ville få for dem. Læs vejledningen om databeskyttelsesrådgivere Plan for fremtidige vejledninger Datatilsynet har på deres hjemmeside offentliggjort en plan for, hvornår de i samarbejde med Justitsministeriet, Erhvervs- og Digitaliseringsstyrelsen udgiver yderligere vejledninger til databeskyttelsesforordningen. Som det fremgår af oversigten, skal de næste vejledninger omhandle blandt andet emner som dataansvarlige og databehandlere samt samtykke. 6/10

7 Se tidsplan for vejledninger En generel informationspjece om databeskyttelsesforordningen Udover de to vejledninger, som er nævnt ovenfor, har Datatilsynet i samarbejde med Justitsministeriet, Erhvervs- og Digitaliseringsstyrelsen udarbejdet en generel informationspjece om databeskyttelsesforordningen. Pjecen søger at besvare de mere overordnede spørgsmål såsom: Fra hvilket tidspunkt gælder databeskyttelsesforordningen? Hvad er en personoplysning? Hvilke rettigheder har de registrerede personer? Se informationspjecen 7/10

8 DATATILSYNET UDGIVER FAQ OM DATABESKYTTELSE Datatilsynet har for nyligt udgivet en FAQ om de mest stillede spørgsmål inden for det persondataretlige område. FAQ'en besvarer mange forskellige spørgsmål, så både erhvervsdrivende, offentlige myndigheder og private kan få svar på spørgsmål om blandt andet anmeldelser til Datatilsynet, arbejdsgivers håndtering af medarbejderoplysninger, forskning, brug af CPR-numre, overvågningsregler, foreningers håndtering af personoplysninger, IT-sikkerhed, whistleblower-ordninger mv. FAQ'en adskiller sig fra den nyligt offentliggjorte informationspjece (læs mere om pjecen) ved at besvare mere konkrete spørgsmål, samtidig med at FAQ'en primært har fokus på gældende ret, mens informationspjecen primært har fokus på databeskyttelsesforordningen. Se FAQ'en Se informationspjecen 8/10

9 BEHANDLINGEN AF PERSON OPLYSNINGER HOS FLERE OFFENTLIGE MYNDIGHEDER HALTER BAGEFTER DET VISER STIKPRØVER FORETAGET AF DATATILSYNET Datatilsynet har foretaget en stikprøvekontrol om behandling af personoplysninger hos en række offentlige myndigheder. Resultatet var langt fra opløftende, idet 7 ud af 8 myndigheder modtog kritik for deres efterlevelse af de persondataretlige regler eller mangel på samme. Datatilsynet foretager, som led i deres rolle som tilsynsmyndighed, løbende inspektioner og stikprøver hos private såvel som offentlige myndigheder for at afklare, om de pågældende aktører lever op til deres persondataretlige forpligtelser. Senest har Datatilsynet foretaget stikprøvekontrol ved hjælp af spørgeskemaer hos Beskæftigelsesministeriet, Sundheds- og Ældreministeriet, Vejdirektoratet, Sundhedsdatastyrelsen, Udlændinge- og Integrationsministeriet, Rigspolitiet, Rigsadvokaten samt Udbetaling Danmark. Resultatet af stikprøverne gav Datatilsynet anledning til at inddele myndighederne i tre grupper. Den ene gruppes forhold var af meget kritisabel karakter, en anden gruppes forhold var af kritisabel karakter og den sidste gruppes forhold var uden anmærkninger. Alene én myndighed ud af de i alt 8 kunne henføres under den sidste gruppe, dvs. at Datatilsynet ingen anmærkninger havde. Denne myndighed var Udbetaling Danmark. Læs mere om den nærmere kritik af de resterende myndigheder 9/10

10 LOVLIGHEDEN AF EU-STANDARD KONTRAKTER SKAL NU PRØVES VED EU-DOMSTOLEN Max Schrems et efterhånden kendt navn, når det kommer til databeskyttelse har netop fået prøvet sin klage over EU-standardkontrakter ved den irske Højesteret. Den irske Højesteret tog dog ikke endelig stilling til retmæssigheden af kontrakterne, men henviste i stedet sagen til EU-Domstolen. Sagen kan få store konsekvenser for overførsler af personoplysninger til USA. Sagen i korte træk Max Schrems har tidligere været omdrejningspunkt for en sag om retmæssigheden af den tidligere overførselsaftale mellem EU og USA (Safe Habor-aftalen), som blev underkendt ved EU-Domstolen, der gav Max Schrems medhold i sine synspunkter. I forlængelse af ovenfor nævnte sags afslutning klagede Schrems på ny til det irske Datatilsyn. Denne gang klagede han over Facebooks anvendelse af EU-Kommissionens standardkontrakter, som Facebook anvender til at overføre oplysninger om EU-borgere fra EU til USA i stedet for Safe Harbor-aftalen. Klagen gik hovedsageligt på, at disse standardkontrakter ikke ydede de tilstrækkelige persondataretlige garantier for EU-borgerne. Det irske datatilsyn fandt, at Max Schrems' klage var velbegrundet, og det irske Datatilsyn nåede tillige frem til, at standardkontrakter ikke giver EU-borgerne et tilstrækkeligt beskyttelsesniveau, herunder blandt andet som en følge af en ringe adgang til effektive retsmidler for EU-borgere med risiko for, at deres oplysninger var blevet misbrugt efter overførslen til USA. På den baggrund mente det irske Datatilsyn, at gyldigheden af EU-Kommissionens standardkontrakter skal prøves ved en domstol og indledte derfor en retssag om gyldigheden af disse. Denne sag er endt ved den Irske Højesteret, som foreløbigt har henvist sagen til EU-Domstolen. Kromann Reumerts bemærkninger Sagen er særligt interessant, fordi den kan få store konsekvenser for overførsler af personoplysninger til USA. Standardkontrakterne bruges nemlig flittigt til overførsler fra EU til USA. Hvis de vurderes som værende ugyldige, vil det formentlig resultere i, at der igen skal forhandles med den amerikanske regering, interessenter og EU. Dette kan være en langvarig proces og medfører ofte en del usikkerhed. Det er dog langt fra sikkert, at standardkontrakterne erkendes ugyldige. Indtil EU-Domstolen eventuelt måtte nå frem til et andet resultat i forbindelse med den præjudicielle forelæggelse fra den irske Højesteret, står kontrakterne ved magt. Vi bemærker, at sagen vedrører overførsler af personoplysninger til USA på baggrund af EU-standardkontrakter og dermed ikke standardkontrakternes generelle gyldighed. 10/10