Databeskyttelsesforordningen i uddannelsessektoren

Transkript

1 Side 1 Databeskyttelsesforordningen i uddannelsessektoren v/martin Sønnersgaard, advokat, senior manager

2 Side 2 Dagsorden 1) Det nye retlige landskab 2) Ny dom om personoplysninger i eksamenskontekst 3) Behandling af personoplysninger om unge under 18 år 4) Samtykke og interesseafvejningsreglen 5) Sletning 6) Brud på persondatasikkerheden

3 Side 3 Det nye retlige landskab Databeskyttelsesforordningen bliver det primære retsgrundlag Persondataloven (og bekendtgørelserne udstedt i medfør af den) ophæves fra den 25. maj 2018 Forordningen er almengyldig. Den er bindende i alle enkeltheder og gælder umiddelbart i Danmark og de andre medlemsstater. Ny dansk lov om databeskyttelse 3. behandling 3. maj 2018 Domme fra EU-domstolen og andre EU-retlige kilder

4 Side 4 Personoplysninger i eksamenskontekst sag C , Nowak Indholdet af en eksamensbesvarelse kan anses som personoplysninger, fordi indholdet af besvarelsen afspejler eksaminandens "viden og kompetence inden for et givent område samt i givet fald hans tankegang, dømmekraft og kritiske sans." (pr. 37) Hvis prøven skrives i hånden, indeholder besvarelserne tillige oplysninger vedrørende hans håndskrift. (pr. 37) Eksaminators rettelser og kommentarer til eksamensbesvarelsen er også personoplysninger (om både deltageren og eksaminatoren). (pr. 44) Ret til indsigt omfatter elevens eksamensbesvarelse samt eksaminators rettelser og kommentarer hertil (pr. 51) men ikke eksamensspørgsmål, da disse, som udgangspunkt, ikke indeholder personoplysninger (pr. 58). Og ikke ret til efterfølgende berigtigelse af forkerte besvarerelser (pr. 52). Bredt personoplysningsbegreb!

5 Side 5 Behandling af personoplysninger om unge under 18 år Hvornår er man persondataretligt myndig og kan samtykke til behandling af personoplysninger? 15 år men individuelt modenhedskriterium, jf. Datatilsynets afgørelse i j.nr (Vedrørende oplysningspligt i forhold til børn og unge) Hvem kommunikerer vi med f.eks. ift. underretningspligten? HR: Meddelelse skal gives til børn og unge selv, når de er fyldt 15 år. Der skal som altovervejende hovedregel også gives meddelelse til forældremyndighedsindehaveren. U: Sagen er af en sådan privat karakter for den mindreårige, at dette kan begrunde undladelse af at give meddelelse til forældremyndighedsindehaveren.

6 6. SEPTEMBER Samtykke (art. 7) Et samtykke skal være en frivillig, specifik, informeret og utvetydig viljestilkendegivelse, jf. art. 4, nr. 11 Dataansvarlige skal som hidtil kunne påvise, at datasubjektet har samtykket til behandlingen Kravene til bevis for samtykke skærpes, jf. utvetydighed Samtykket skal være adskilt fra øvrige tekst Det er en gyldighedsbetingelse for et samtykke, at der forinden er informeret om muligheden for at trække samtykket tilbage. Det skal være lige så let at trække tilbage som at give det. Kan man bruge de gamle samtykker fremadrettet?

7 6. SEPTEMBER Nogle eksempler Udsendelse af materiale til studerende Et uddannelsessted må ikke udlevere studerendes navne og adresser til brug for udsendelse af informations- eller markedsføringsmateriale uden de studerendes samtykke. Udsendelse af informationsmateriale om diverse studie- og erhvervsrelevante tiltag til de studerende kan ske uden samtykke. Der må dog ikke udsendes egentligt markedsføringsmateriale. Elevoplysninger på internettet Offentliggørelse af oplysninger om elever i form af navne, portrætbilleder, klassebilleder eller fritidsinteresser på skolens hjemmeside må kun ske, hvis der forinden er indhentet samtykke fra hver enkelt elev. Situationsbilleder vs. portrætbilleder

8 6. SEPTEMBER Nogle eksempler Kontrol af de studerendes internetbrug, f.eks. i form af logning Kan ske uden samtykke, hvis hensynet er at sikre en etisk forsvarlig brug af internettet, herunder sikre, at der ikke downloades pornografisk materiale o.lign. Forudsætning at de studerende informeres på forhånd om kontrollen (Rt. j.nr (RÅ 1999, s ) Videregivelse af karakterer etc. En uddannelsesinstitution kan normalt udlevere oplysninger om, hvilke elever der går på skolen (klasselister) uden samtykke Men som altovervejende hovedregel ikke oplysninger om karakterer o.lign. (Retsudvalgets spm. nr. 57 til lovforslag L 44 af 8. oktober 1998)

9 Side 9 Samtykke anbefalinger Samtykket er sårbart: Overvej, om I kan bruge andet grundlag end samtykke Hvis den registrerede tilbagekalder et samtykke, så overvej, om I kan bruge andre behandlingshjemler Hvis I skal bruge samtykke, så overvej, om samtykket er gyldigt Overvej at informere om muligheden for tilbagekaldelse af samtykket inden den 25. maj 2018 Husk at I skal kunne bevise, at I har fået et gyldigt samtykke

10 6. SEPTEMBER Interesseafvejningsreglen Databeskyttelsesforordningens artikel 6, stk. 1, litra f - behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse (interesseafvejningsreglen) Stor betydning i praksis navnlig på HR-området Men: Gælder ikke for offentlige myndigheder (artikel 6, stk. 1, litra f, 2. afsnit) Hvad gør man fremadrettet?

11 6. SEPTEMBER Interesseafvejningsreglen (fortsat) Bet. 1565, s. 134 f: Vil formentlig ikke få den store betydning i praksis kan bruge andre hjemler, f.eks. artikel 6, stk. 1, litra c (retlig forpligtelse) eller artikel 6, stk. 1, litra e (opgave i samfundets interesse/offentlig myndighedsudøvelse) Ny interesseafvejningsregel i databeskyttelseslovudkastets 12, stk. 2, af relevans på HR-området

12 Side 12 Sletning hvornår skal man slette? Nødvendighed artikel 5, stk. 1, litra e Pr. 39: For at sikre, at personoplysninger ikke opbevares i længere tid end nødvendigt, bør den dataansvarlige indføre tidsfrister for sletning eller periodisk gennemgang. => Slettepolitik. Slettehensyn Pligt til at gemme / særlige regler om sletning Arkivlovgivning Bogføringsloven Tjenestemandsloven (pensionsoplysninger etc.) Tv-overvågningsloven max 30 dages opbevaringsperiode Øvrig særlovgivning på uddannelsesområdet Et eksempel Skriftlig eksamensbesvarelse samt eksaminators rettelser skal slettes, når først prøven er endelig afsluttet og ikke længere kan anfægtes, således at besvarelsen samt rettelserne og kommentarerne har mistet enhver beviskraft, jf. C-434/16, Nowak, (pr. 55).

13 Side 13 Hvad vil det sige at slette effektivt? Sletning skal være effektiv og uigenkaldelig Også sletning af backup, hvis teknisk muligt Overvej effektiv anonymisering som alternativ til sletning Husk behandlingssikkerheden destruktion af lagringsmedier Husk tilsyn med databehandlere, herunder om sletning Antagelse af en ekstern leverandør til sletning kræver en databehandleraftale med den pågældende leverandør efter databeskyttelsesforordningens regler herom

14 Side 14 Brud på persondatasikkerheden

15 Side 15 Hvor kan det gå galt? Menneskelige fejl Sender s uden kryptering eller til forkert modtager, glemmer USB-sticks, lader papirer flyde i printerrummet Organisatoriske fejl Glemmer at fastsætte eller opdatere interne retningslinjer, manglende kontrol med databehandlere, manglende undervisning eller instruktion af medarbejdere Systemmæssige fejl Utilstrækkelig sikkerhed i IT-systemer, f.eks. ikke mulighed for at slette effektivt, manglende kryptering, utilstrækkelig adgangskontrol, for bred adgang til oplysninger etc.

16 Side 16 Hvilke pligter har vi? Persondataforordningen art. 33, stk. 1: Ved brud på persondatasikkerheden anmelder den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, bruddet på persondatasikkerheden til den tilsynsmyndighed, som er kompetent Persondataforordningen art. 34, stk. 1: Når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, underretter den dataansvarlige uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden.

17 Side 17 Eksempler på brud En medarbejder har adgang til en sag, som den pågældende ikke bør have adgang til En medarbejder sender en med fortrolige eller følsomme personoplysninger til den forkerte En HR-medarbejder sender ved en fejl lønsedler og ansættelseskontrakt til en forkert medarbejder i organisationen. En computer med ansættelsessager bliver stjålet

18 Side 18 Anbefalinger til intern implementering Fastsæt interne retningslinjer for konstatering, stop, evaluering og underretning af brud overholdelse af 72 timers-fristen Fastsæt krav til leverandører i databehandleraftaler og underdatabehandleraftaler om bistand ved sikkerhedsbrud og betaling I skal føre et internt dokumentationsregister over brud artikel 33, stk. 5

19 Side 19 Læs mere på

20 Side 20 Redskaber til at vedligeholde persondataretlig compliance efter den 25. maj 2018 Lejlighed til at dele erfaringer og sparre om løsninger og metoder med netværkets øvrige deltagere Udvidelse af dit professionelle netværk, som du kan trække på fremadrettet Mulighed for at høre spændende oplæg og cases om aktuelle emner fra førende eksperter fra toneangivende virksomheder og offentlige myndigheder Adgang til et online forum til at udveksle erfaringer mellem møderne Læs mere på

21 Kammeradvokatens persondataspecialister Side 21 Jakob Kamby Partner, Advokat (L) Digitalisering og Regulering M: T:: Milena Anguelova Krogsgaard Partner, Advokat (L) Digitalisering og Regulering M: T: Rasmus Holm Hansen Partner, Advokat (H) Digitalisering og Regulering M: Sune Fugleholm Partner, Advokat (H) Digitalisering og Regulering M: T:: Anni Noes Westergaard Advokat (L) Digitalisering og Regulering Martin Sønnersgaard Advokat Digitalisering og Regulering Jesper Nørøxe Partner, Advokat (L) Digitalisering og Regulering Kirsten Marie Petersen Advokatfuldmægtig Digitalisering og Regulering M: T: M: T: M: T: M: T: Elisabeth Andersen- Møller Advokat Digitalisering og Regulering M: Niels Banke Partner, Advokat (H) Ansættelsesret M: T: Louise Olsen Advokatfuldmægtig Digitalisering og Regulering M: David Knobel Advokat Udbud, Transaktioner, EU og Markedsret M: T: