1 Afgørelse fra Datatilsynet vedrørende sletning af profil og indlæg på et debatforum

Transkript

1 Indhold 1 Afgørelse fra Datatilsynet vedrørende sletning af profil og indlæg på et debatforum 2 Whistleblower systemer - retningslinjer fra Datatilsynet 3 Overførsel af personoplysninger til tredjelande 4 Plesner-seminar: Få styr på internationale overførsler af persondata Plesner-seminar den 16. juni 2010 om internationale dataoverførsler Læs mere i dette nummer

2 1 Afgørelse fra Datatilsynet vedrørende sletning af profil og indlæg på et debatforum Af Michael Hopp og fuldmægtig Katrine Gondolf Trebbien Datatilsynet har i en afgørelse fra slutningen af 2009 fundet, at et debatforum ikke var berettiget til at opretholde en tidligere brugers profil og indlæg i en form, der kunne henføres til den tidligere bruger som person, efter denne bruger havde fremsat ønske om sletning. I sagen var den tidligere brugers profil blevet deaktiveret på ubestemt tid af debatforummet, fordi brugeren havde overtrådt reglerne for debatforummet. Den tidligere bruger kunne efter deaktiveringen ikke logge ind på debatforummet, men den tidligere brugers profil og indlæg fremgik fortsat af forummet, således at disse var tilgængelige for alle brugere på forummet. Brugeren havde anmodet debatforummet om at slette hans profil og debatindlæg, hvilket brugeren var blevet nægtet. Datatilsynet fandt, at persondataloven gjaldt for alle de behandlinger af oplysninger om den tidligere bruger, som debatforummet foretog. Datatilsynet fandt endvidere ud fra en konkret vurdering, at debatforummet på nuværende tidspunkt måtte betragtes som dataansvarlig for behandlingen af den tidligere brugers profiloplysninger og de personoplysninger, som indgik i hans debatindlæg på forummet, idet det alene var debatforummet, som faktisk rådede over oplysningerne. Datatilsynet tilkendegav desuden, at i forhold til spørgsmålet om sletning af personhenførbare oplysninger fra indlæg, vil der normalt foreligge konkrete omstændigheder, der taler for, at brugerens ønske om en sletning skal imødekommes, hvis debatsiden har givet brugerne en begrundet forventning om, at det er muligt at slette indlæg. En begrundet forventning kan ifølge Datatilsynet bl.a. være skabt ved, at brugeren på tidspunktet for indlægget kunne slette sine indlæg eller redigere i disse, eller hvis det af brugervilkårene eller på anden måde fremgår, at det er muligt at få slettet indlæg. Ifølge Datatilsynet vil brugerens ønske i en sådan forbindelse eventuelt kunne imødekommes ved, at indlægget opretholdes på en sådan måde, at det ikke umiddelbart kan henføres til brugeren. I den konkrete sag var det muligt for brugerne af debatforummet at slette deres egne indlæg. På ovennævnte baggrund fandt Datatilsynet, at debatforummet ikke var berettiget til at opretholde den tidligere brugers profil og indlæg i en form, der kunne henføres til den tidligere bruger som person, efter denne bruger havde fremsat ønske om sletning. Datatilsynet fastslog, at selv i en sag, hvor behandlingen ikke strider mod persondatalovens behandlingsregler (den tidligere bruger havde selv gjort oplysningerne tilgængelige på debatforummet), vil en indsigelse fra en registreret være berettiget, hvis vægtige grunde, der vedrører den registreredes særlige situation, taler for, at indsigelsen skal imødekommes. Datatilsynet fortsatte herefter med at tilkendegive, at brugeren ofte vil have et berettiget ønske i at få sin profil slettet eller anonymiseret på et diskussionsforum m.v. Dette vil ifølge Datatilsynet bl.a. kunne ske ved fortsat at lade brugeren fremgå under en generel og neutral betegnelse som f.eks. "Gæst" eller "Tidligere bruger".

3 2 Whistleblower systemer - retningslinjer fra Datatilsynet Af Michael Hopp og Karen Møller-Petersen I de senere år har mange virksomheder indført såkaldte whistleblower systemer i form af f.eks. hotlines. Disse systemer giver medarbejdere mulighed for at rapportere om forhold i virksomheden. Datatilsynet er kommet med retningslinjer, der stiller krav til whistleblower systemer og krav om anmeldelse af dem. Whistleblower systemer er blevet almindelige i internationale koncerner, bl.a. også hos de danske datterselskaber, ligesom de også er indført hos enkelte danske koncerner. Datatilsynet har offentliggjort et sæt retningslinjer om indretningen og anvendelsen af disse systemer, se nærmere på Datatilsynets hjemmeside Når en medarbejder vælger at "blæse i fløjten" via en hotline og f.eks. gør opmærksom på en mistanke om en lovovertrædelse foretaget af en kollega, vil dette indebære en indsamling og behandling af personoplysninger, som er reguleret af persondataloven. anset som dataansvarlig. Dele af databehandlingen i et sådant system kan også finde sted i et dansk datterselskab, da datterselskabet som regel vil være involveret i behandlingen, når en rapport involverer en dansk ansat, f.eks. i forbindelse med fremskaffelse af oplysninger til undersøgelse af rapporten og i forbindelse med, at der tages disciplinære skridt overfor medarbejderen. Datterselskabet vil alene skulle indgive en anmeldelse til Datatilsynet vedrørende personale-administrationssystemet, hvori man oplyser om whistleblower systemet - en såkaldt HR-anmeldelse. Hvis moderselskabet er etableret i et andet EU-land, vil det være dette lands regler, der gælder for dette selskab som dataansvarlig og dermed for selve whistleblower systemet. Er moderselskabet etableret udenfor EU, vil selskabet skulle indgive en anmeldelse til Datatilsynet, hvor moderselskabet er anført som dataansvarlig. Etableringen af et whistleblower system skal anmeldes på en særlig anmeldelsesblanket og godkendes af Datatilsynet, før systemet må tages i brug. I retningslinjerne er det fastsat, hvem der i forskellige selskabskonstruktioner vil blive anset for dataansvarlig og databehandler, ligesom en lang række specifikke krav til indretning af systemet er beskrevet. Datatilsynet har for nylig opdateret retningslinjerne i relation til, hvilke personer der kan foretage indberetning via et whistleblower system. Mens udgangspunktet er, at det alene er medarbejdere og bestyrelsesmedlemmer, der kan have adgang hertil, har man erkendt, at der kan være virksomheder, hvor det er nødvendigt, at også andre med tilknytning til virksomheden skal kunne foretage indberetning. Dette kan f.eks. være virksomhedens kunder og leverandører. Hvis whistleblower systemet er placeret på en virksomheds hjemmeside, skal det fremgå, hvilke personer der har adgang til at foretage en indberetning. I koncernforhold et det typisk moderselskabet, der kontrollerer whistleblower systemet og dermed vil blive

4 3 Overførsel af personoplysninger til tredjelande Af Michael Hopp og fuldmægtig Katrine Gondolf Trebbien Personoplysninger må som udgangspunkt kun overføres til virksomheder m.v. beliggende i et tredjeland, som sikrer et tilstrækkeligt beskyttelsesniveau. Udgangspunktet gælder såvel ved overladelse af personoplysninger til en databehandler som ved videregivelse af personoplysninger til en ny dataansvarlig. Overførsel af personoplysninger til virksomheder beliggende i sikre tredjelande (herunder til amerikanske virksomheder tilmeldt "Safe Harbor") kræver Datatilsynets forudgående tilladelse bl.a., hvis der overføres følsomme eller semi-følsomme oplysninger. Overførsel af personoplysninger til virksomheder beliggende i usikre tredjelande (og til amerikanske virksomheder ikke tilmeldt "Safe Harbor") vil kunne ske, hvis den registrerede udtrykkeligt har samtykket til overførslen, eller hvis overførslen er nødvendig af hensyn til nærmere angivne formål m.v. I sådanne tilfælde vil en overførsel af følsomme og semi-følsomme oplysninger kræve Datatilsynets forudgående tilladelse, medmindre overførslen sker med den registreredes udtrykkelige samtykke, eller overførslen er nødvendig for at beskytte nærmere angivne interesser m.v. Overførsel af personoplysninger til virksomheder beliggende i andre tredjelande (og til amerikanske virksomheder ikke tilmeldt "Safe Harbor") vil også kunne ske efter Datatilsynets forudgående tilladelse, når den dataansvarlige har ydet tilstrækkelige garantier for beskyttelse af de registreredes rettigheder. EU-Kommissionens standardkontraktbestemmelser frembyder tilstrækkelige garantier for beskyttelse af de registreredes rettigheder, og det er også muligt at yde tilstrækkelige garantier ved anvendelse af binding corporate rules.

5 4 Plesner-seminar: Få styr på internationale overførsler af persondata Plesner inviterer til morgenseminar om internationale overførsler af persondata. Onsdag den 16. juni 2010, kl Internationale overførsler af persondata I det daglige har man som international koncern behov for at udveksle persondata mellem selskaberne i koncernen, men det overses nemt, at en sådan udveksling kræver særlig hjemmel, hvis der overføres personoplysninger til selskaber i lande udenfor EU/EØS, der ikke har et tilstrækkeligt niveau for beskyttelse af personoplysninger, såkaldte usikre tredjelande, f.eks. USA. Der skal overraskende lidt til for, at der sker en overførsel af persondata til et usikkert tredjeland. Det kan for eksempel være, hvis det danske moderselskab giver et datterselskab i et usikkert tredjeland adgang til sit intranet, eller hvis et dansk datterselskab anvender det amerikanske moderselskabs -server til at sende og modtage sine s. Det danske datterselskab er måske også en del af koncernens whistleblower system, der kontrolleres af det amerikanske moderselskab, og som giver alle medarbejdere i koncernen, herunder de danske medarbejdere, mulighed for at rapportere mistanke om ulovligheder. Seminaret giver dig indsigt i, hvornår der sker en international overførsel, og gør dig i stand til at kortlægge, på hvilke områder din organisation allerede i dag foretager internationale overførsler. Derudover giver seminaret dig indsigt i, hvilke internationale overførsler man bør være særligt opmærksom på, og hvilke forholdsregler der er nødvendige for at sikre, at man overholder reglerne. Oplægsholdere Seminarets oplægsholdere er: Michael Hopp,, Plesner Stinne Andersen, cand.jur. og specialist inden for internationale dataoverførsler, Datatilsynet Sian Rudgaard, Senior Associate og specialist i persondataret m. særligt fokus på binding corporate rules, Field Fisher Waterhouse, London Malene Grønvald, Associate General Counsel, Novo Nordisk A/S

6 Program Registrering med kaffe, te og morgenmad Velkomst og indledning, v/michael Hopp,, Plesner Regler om videregivelse af persondata i koncerner, og praktiske eksempler på situationer, hvor reglerne om videregivelse af persondata til usikre tredjelande skal overholdes, v/michael Hopp,, Plesner Datatilsynets erfaringer med internationale overførsler - hvordan overholdes reglerne?, v/stinne Andersen, cand.jur., Datatilsynet Pause Et internationalt syn på videregivelse af persondata til usikre tredjelande, og introduktion til binding corporate rules, v/sian Rudgaard, Senior Associate, Field Fisher Waterhouse Novo Nordisk A/S' udfordringer og løsninger vedrørende reglerne om videregivelse af persondata til usikre tredjelande, v/ Malene Grønvald, Associate General Counsel, Novo Nordisk A/S Frokost Praktiske oplysninger Seminariet afholdes i Plesners domicil, Kobbertårnet, Amerika Plads 37, 2100 København Ø. Der er gratis parkeringsmulighed i Plesners parkeringskælder, der befinder sig under Kobbertårnet med indkørsel fra Dampfærgevej. Vi byder på kaffe/te og croissanter fra morgenstunden. Efter seminaret vil der være frokost til de interesserede. Advokaters efteruddannelse Seminaret tæller som fire lektioner i relation til reglerne om ers obligatoriske efteruddannelse. Ønsker du at få udleveret et kursusbevis, beder vi dig om at meddele os dette i din tilmelding. Tilmelding Tilmelding er gratis, men nødvendig, da der er et begrænset antal pladser. Du tilmelder dig på under "Arrangementer". Tilmeldingsfristen er den 14. juni Husk at oplyse firmanavn og deltagernavne samt det antal, der ønsker at deltage i frokosten. Har du spørgsmål til programmet, er du velkommen til at kontakte Michael Hopp på telefon eller mho@plesner.com. Har du spørgsmål vedrørende tilmelding, er du velkommen til at kontakte uddannelsessekretær Camilla Luplau på telefon eller clu@plesner.com Vi håber at se dig den 16. juni Med venlig hilsen PLESNER

7 Kontakt Per Håkon Schmidt, partner Peter-Ulrik Plesner, partner Sture Rygaard, partner Michael Hopp, partner Mikkel Vittrup, juniorpartner Jakob Krag Nielsen Nina Ringen Signe Toft Emil Jurcenoks Annika Valla Broman

8 Nancy Elbouridi Karen Møller-Pedersen De nævnte er kan også kontaktes på telefon OM PLESNER. Med 200 mere jurister end 200 og jurister en samlet og en medarbejderstab samlet medarbejderstab på 350 medarbejdere på 360 medarbejdere er Plesner er et Plesner af landets af førende landets internationale førende internationale firmaer firmaer med specialer med inden specialer for alle inden erhvervs- for alle og offentligretlige erhvervs- og offentligretlige områder. Plesners områder. vision Plesners er at være vision Danmarks er at være bedste Danmarks firma bedste firma - det naturlige - det valg naturlige for enhver valg dansk for enhver og udenlandsk dansk og virksomhed udenlandsk med virksomhed behov for med erhvervsjuridisk behov for erhvervsjuridisk " rådgivning rådgivning " Dette nyhedsbrev er kun til generel oplysning og kan ikke erstatte juridisk rådgivning. Plesner påtager sig intet ansvar for tab som følge af fejlagtig information i nyhedsbrevet eller andre forhold i forbindelse hermed.