Definition og analyse af personoplysninger, forholdet til PSI-loven, og muligheden for anonymisering af personhenførbar information - Et juridisk

Størrelse: px
Starte visningen fra side:

Download "Definition og analyse af personoplysninger, forholdet til PSI-loven, og muligheden for anonymisering af personhenførbar information - Et juridisk"

Transkript

1 Definition og analyse af personoplysninger, forholdet til PSI-loven, og muligheden for anonymisering af personhenførbar information - Et juridisk dokument af Michael Agerholm Juhl, jurist hos ODAA. April

2 Indledning Offentliggørelse af data til videreanvendelse via ODAA, er ligesom alt andet data der offentliggøres med henblik på videreanvendelse, reguleret af PSI-loven (lov om videreanvendelse af den offentlige sektors informationer). PSI-loven er baseret på EU-direktivet 2003/98/EF af 17. november 2003 om videreanvendelse af den offentlige sektors informationer, der søger at fremme offentlige myndigheders frigørelse af data til kommerciel og ikke-kommerciel videreanvendelse. Adgangen til at frigøre den data som de offentlige myndigheder har i deres besiddelse er ikke ubegrænset: Det følger af PSI-lovens 4, stk. 1, at offentlige myndigheder kan stille dokumenter og datasamlinger til rådighed, medmindre anden lovgivning er til hinder herfor. Anden lovgivning skal derfor respekteres, og her kommer bl.a. persondataloven i spil. Det følger også af artikel 1 i direktiv 2003/98/EF som loven er baseret på, at der er visse undtagelser til den generelle adgang til at frigøre data når det kommer til data der er omfattet af databeskyttelseslovgivningen. Hvis nogle oplysninger udgør personoplysninger i persondatalovens forstand, så er det persondataloven der regulerer hvorledes disse oplysninger må behandles, og hvilke betingelser der skal være opfyldt førend de må behandles. Der vil derfor i det følgende blive set nærmere på hvilken type data der konstituerer persondata, for at kunne vurdere om den pågældende data er omfattet af behandlingsreglerne i persondataloven, hvilke regler der gælder for behandling af personoplysninger, og hvordan disse regler hænger sammen med reglerne i PSI-loven. Derudover vil der blive set nærmere på muligheden for at anonymisere data såfremt dette er nødvendigt. Personoplysninger generelt og begrebet personhenførbarhed Personoplysninger er defineret i persondatalovens 3 som enhver form for information om en identificeret eller identificerbar fysisk person. Ved udtrykket identificerbar person skal forstås en person, der direkte eller indirekte kan identificeres ved et eller flere elementer der er særlige for den pågældende persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet. Det ligger i begrebet personoplysninger, at der er tale om enhver oplysning der kan henføres (dvs. en personhenførbar oplysning) til én fysisk person, selv om dette forudsætter kendskab til 2

3 personnummer, registreringsnummer, eller lignende særlige identifikationer, som fx et løbenummer. Begrebet er således meget bredt defineret. En oplysning kan derfor karakteriseres som en personoplysning, og være omfattet af loven, selvom det først er når den kombineres med andre oplysninger at den kan kan henføres til en fysisk person. Hvis en oplysning betragtes som en personoplysning er den derfor pr. definition personhenførbar. Ved vurderingen af om en person er identificerbar ud fra en given oplysning, skal alle hjælpemidler der med rimelighed kan tænkes bragt i anvendelse for at identificere den pågældende person, tages i betragtning. Et eksempel: Der indsamles spørgeskemaer fra en række personer. Spørgeskemaerne er alene påført et løbenummer. Løbenummeret henviser til en oversigt over navnene på de personer der har besvaret spørgeskemaerne. Spørgeskemaet vil i sig selv isoleret set ikke indeholde personoplysninger, men da oplysningerne i spørgeskemaet kan sammenkobles med oversigten over personer, vil det derfor ved behandlingen af oplysningerne være muligt at identificere de pågældende personer. Der er således tale om personoplysninger, og behandlingen vil derfor være omfattet af persondataloven. Der findes forskellige typer af personoplysninger, og persondataloven er struktureret således, at alle oplysningstyper som ikke specifikt er opregnet i 7, 8, eller som personnummeret særreguleret i 11, er omfattet af 6, stk. 1 der altså gælder for de fleste personoplysninger. Behandlingsbetingelser for de almindelige personoplysninger i 6 Som nævnt gælder der, at de personoplysninger der ikke er specifikt opregnet i og dermed omfattet af persondatalovens 7, 8 og 11, skal betragtes som almindelige personoplysninger, og dermed omfattet af behandlingsbetingelserne i 6. Behandling af almindelige personoplysninger må kun finde sted i medfør af 6, hvis en af betingelserne i 6, stk. 1-3 er opfyldt. Det er således kun nødvendigt at én enkelt betingelse er opfyldt førend behandling kan ske. Der kan således behandles oplysninger efter persondatalovens 6, hvis: - den registrerede har givet udtrykkeligt samtykke hertil; 3

4 - behandlingen er nødvendig af hensyn til en aftale eller til gennemførelse af foranstaltninger der træffes på den registreredes anmodning - behandlingen er nødvendig for at overholde en retlig forpligtelse for den dataansvarlige - behandlingen er nødvendig for at beskytte den registreredes vitale interesser - behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse - behandlingen er nødvendig af hensyn til udførelsen af en opgave, der henhører under offentlig myndighedsudøvelse som den dataansvarlige eller tredjemand til hvem oplysningerne videregives, har fået pålagt, - behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand til hvem oplysningerne videregives kan forfølge en berettiget interesse, og hensynet til den registrerede person ikke overstiger denne interesse - en virksomhed må videregive oplysninger om en forbruger til en anden virksomhed hvis forbrugeren har givet udtrykkeligt samtykke hertil, o videregivelse af oplysninger kan dog ske uden samtykke, hvis er tale om generelle kundeoplysninger Af de ovennævnte behandlingsbetingelser, er betingelsen om samtykke klart den stærkeste behandlingsgrund. I forhold til alle datatyper og alle behandlingsformer der er omfattet 6, men også af 7-8, kan behandling af personoplysninger finde sted, såfremt den registrerede person udtrykkeligt samtykker hertil. Samtykket er grundlæggende en viljeserklæring fra den registrerede person og kan gives af denne, men kan ligeledes gives af en person der har fået fuldmagt hertil. Samtykket vil typisk gives til den dataansvarlige som vurderer om det er gyldigt, men det er i praksis accepteret at samtykket kan gives til tredjemand som herefter formidler det til den dataansvarlige. Som nævnt ovenfor, er en oplysning først en personoplysning når den i sig selv eller i kombination med andre oplysninger kan henføres til en specifik fysisk person, og dette gælder uanset om der er tale om en almindelig personoplysning, en følsom personoplysning eller en semi-følsom personoplysning. 4

5 De følsomme personoplysninger i 7 Oplysningerne fastsat i persondatalovens 7 er kendt som de følsomme personoplysninger. Hvis en personoplysning falder ind under en af disse emnegrupper er den således at betragte som følsom og derfor reguleret af 7. Ifølge 7, stk. 1 gælder der, at der som udgangspunkt ikke må behandles oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold. Der er i den juridiske litteratur bred enighed om, at en række af de nævnte oplysningstyper er sensitive og dermed tilhører privatlivsbeskyttelsens kerneområde. Oplysningstyperne er karakteriseret ved at være brede, og mange af dem indeholder både noget trivielt og noget som må betragtes som følsomt. De enkelte kategorier giver som udgangspunkt god mening, men deres afgrænsning kan undertiden give anledning til tvivl. Det giver sig selv, at oplysninger om helbredsmæssige forhold må betragtes som følsomme. Det har imidlertid været diskuteret, om den oplysning at en person er syg, uden at sygdommen er specificeret skal betragtes som en helbredsoplysning, og dermed være omfattet af 7, stk. 1. Bestemmelsen giver i sig selv ikke noget svar herpå, men i Datatilsynets praksis antages det at være syg ikke som en helbredsoplysning, og er således ikke omfattet af persondatalovens 7, stk. 1. Det må derfor i stedet betragtes som værende en almindelig personoplysning og er derfor omfattet af 6, stk. 1. Selvom opregningen af de forskellige grupper af oplysninger som udgangspunkt giver god mening, er der dog i bestemmelsen medtaget enkelte oplysningstyper, hvis sensitivitet under et dansk perspektiv ikke er ganske åbenbar, hvilket kort vil blive nærmere diskuteret. Disse oplysninger blev under den tidligere registerlovgivning ikke anset for følsomme, men at disse oplysningstyper nu er omfattet af persondatalovens 7, stk. 1, beror på at oplysningerne var indeholdt i direktiv 95/46/EF (databeskyttelsesdirektivet), som persondataloven er baseret på, og derfor blev det besluttet også at medtage disse oplysninger i 7 ved persondatalovens udformning. I persondataloven, er det fx nyt i forhold til den tidligere registerlovgivning, at oplysninger om filosofisk overbevisning anses for følsomme. Der er anmeldt enkelte behandlinger til Datatilsynet, som efter den dataansvarliges skøn omfatter denne oplysningstype, men der foreligger endnu ikke nogen afgørelser som afklarer hvad der gemmer sig bag denne kategori. Der kan formentlig være 5

6 tale om oplysninger, som kan minde om en religiøs overbevisning, og således angår noget mere end det faktum at en person blot er tilhænger af en bestemt filosofisk retning. Det ville være ønskeligt med en klarere afgrænsning i persondataretten, da en kategorisering af de følsomme personoplysninger bør være forholdsvist præcis. Når afgrænsningen ikke er præcis medfører det, at den dataansvarliges behandlingsmuligheder begrænses, idet der ikke er noget specifikt at forholde sig til, og det er ikke hensigtsmæssigt. I forhold til oplysninger om religiøs overbevisning, kan det virke naturligt at disse bør karakteriseres som følsomme. Det er dog ikke automatisk givet, at alle disse oplysninger bør opfattes således. Her i Danmark, vil en oplysning om at en person er medlem af den danske folkekirke ikke umiddelbart betragtes som følsomt, fordi dette gælder for størstedelen af befolkningen. Der kan dog være forskellige måder at betragte en oplysning om religiøst tilhørsforhold på. Oplysningen kan være følsom, enten fordi den henviser til noget indre og privat i det enkelte menneske, til tro, eller fordi kendskab til denne oplysning kan give anledning til negative reaktioner over for den enkelte. Det må lægges til grund, at det er det sidste der er udslagsgivende. Selvom tro kan være særdeles personligt, er det samtidig en oplevelse som man ofte gerne deler med andre. Under dette perspektiv er der ikke nogen grund til at skjule sådan en oplysning. Dette indebærer, at det kun er når oplysningen er om religiøs overbevisning adskiller personen fra andre personer, hvor dette kan medføre noget negativt i form af diskrimination, at den med rette kan kategoriseres som følsom. Det er således ikke selve oplysningen som er følsom, men oplysningens virkninger som er følsom. For så vidt angår oplysninger om fagforeningsmæssigt tilhørsforhold, forekommer det heller ikke uden videre åbenbart at der er tale om en følsom oplysningstype. Denne kategori omfatter også oplysninger som ikke identificerer den fagforening en person er medlem af, og også oplysninger om at en person tidligere blot har været medlem af en fagforening. I Danmark virker det usædvanligt at betragte en sådan oplysning som følsom. At en jurist eller økonom er medlem af DJØF, eller en IT-uddannet er medlem af PROSA, virker ikke som noget der bør karakteriseres som følsomt. Men som skrevet ovenfor, så er oplysningstypen medtaget på baggrund af at den fandtes i det bagvedliggende direktiv. Dette viser at bestemmelsen har en EU-retlig baggrund, hvor det illustreres at bedømmelserne af oplysningstyperne kan variere inden for forskellige retskulturer. 6

7 Uanset ovenstående betragtninger om logikken i at visse oplysninger skal betragtes som følsomme, betragtes de uanset dette altså som følsomme oplysninger. Disse følsomme oplysninger må derfor som udgangspunkt ikke behandles, men behandling kan dog ske, hvis betingelserne i 7, stk. 2-7 finder anvendelse i det specifikke tilfælde. Ifølge undtagelserne i 7, stk. 2 kan der behandles oplysninger, der er karakteriseret som følsomme i 7 hvis: - den registrerede har givet sit udtrykkelige samtykke til behandling - hvis behandlingen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser, hvor den pågældende ikke er fysisk eller juridisk i stand til at give samtykke - hvis behandlingen vedrører oplysninger som er blevet offentliggjort af den registrerede - hvis behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares Derudover følger det af 7, stk. 3-7 at der er mulighed for at behandle følsomme personoplysninger omfattet af stk. 1, når der er tale om: - behandling af fagforeningsmæssige forhold, hvis overholdelsen er nødvendig af arbejdsretlig forpligtelse eller specifikke rettigheder - en stiftelse, forening eller anden almennyttig organisation som har politisk, filosofisk, religiøs eller faglig art kan inden for rammerne af organisationen foretage behandling af følsomme oplysninger om sine medlemmer. Der kan dog kun ske videregivelse af sådanne oplysninger, hvis den registrerede person har givet et udtrykkeligt samtykke - at en behandling er nødvendig med henblik på bl.a. forebyggende sygdomsbekæmpelse, eller patientbehandling mv. og behandlingen foretages af en person inden for sundhedssektoren der er undergivet tavshedspligt efter lovgivningen - at en behandling er nødvendig af hensyn til en offentlig myndigheds varetagelse af sine opgaver på det strafferetlige område - at en behandling af oplysninger sker af grunde, der vedrører hensynet til vigtige samfundsmæssige interesser, og tilsynsmyndigheden giver tilladelse hertil 7

8 De semi-følsomme personoplysninger i 8 Oplysningerne fastsat i persondatalovens 8 er kendt som de semi-følsomme personoplysninger. I medfør af 8, stk. 1 må der for den offentlige forvaltning ikke behandles oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end de i 8, stk. 1 nævnte, medmindre det er nødvendigt for varetagelsen af myndighedens opgaver. Oplysningerne indeholdt i 8, stk. 1 kan klassificeres som en opsamling af oplysninger der burde have været medtaget i persondatalovens 7. Ved udformningen af persondataloven, som er baseret på databeskyttelsesdirektivet (95/46/EF), blev oplysningerne i artikel 7 som 7 er baseret på anset for at være udtømmende. Dvs. det var derfor ikke muligt at medtage de oplysninger som tidligere var at finde i 9, stk. 2 i lov om offentlige myndigheders registre om strafbare forhold, væsentlige sociale problemer og andre rent private forhold i persondatalovens 7, da disse ikke var at finde i artikel 7 databeskyttelsesdirektivet. Derfor valgte man i stedet at lave en slags opsamlingsbestemmelse i 8 for disse oplysninger og reglerne for behandling af dem. Hvis en personoplysning derfor er omfattet af denne emnegruppe, er den at betragte som semi-følsom og er således reguleret af persondatalovens 8. Indholdet af betegnelsen strafbare forhold giver sig selv: her er der tale om informationer om personer, der vedrører forhold for hvilke der har kunnet idømmes straf efter fx straffeloven. Som eksempler på oplysninger om væsentlige sociale problemer, kan bl.a. nævnes oplysninger om langvarig arbejdsløshed, eller at en person modtager førtidspension, idet tilkendelse af førtidspension er betinget af en varigt nedsat erhvervsevne pga. fysisk eller psykisk invaliditet eller sociale forhold. Som eksempler på andre oplysninger om rent private forhold kan nævnes oplysninger om andre foreningsmæssige forhold end fagforeningsmæssige forhold som nævnt i 7, stk. 1. Derudover kan der være tale om oplysninger om interne familieforhold såsom familiestridigheder og opdragelsesmåde og lignende. Endvidere vil oplysninger om selvmordsforsøg, separationsansøgninger, skilsmissebegæringer mv. antages at være at betragte som private forhold. 8

9 Disse semi-følsomme oplysninger, må som udgangspunkt heller ikke behandles, men ligesom i 7 om følsomme personoplysninger, er der naturligvis også undtagelser til denne hovedregel. Disse undtagelser findes i, 8, stk Først og fremmest følger det af 8, stk. 1, at sådanne oplysninger ikke må behandles, medmindre det er nødvendigt for myndighedens opgaver. Derudover følger det af 8, stk. 2 at der gerne må ske videregivelse af disse oplysninger, hvis: - den registrerede har givet sit udtrykkelige samtykke til videregivelse - videregivelsen sker til varetagelse af offentlige eller private interesser der klart overstiger hensynet til de interesser der begrunder hemmeligholdelse, herunder hensynet til den som hemmeligholdelse angår - videregivelse er nødvendig for udførelse af en myndigheds virksomhed eller påkrævet for en afgørelse som myndigheden skal træffe - videregivelsen er nødvendig for udførelsen af en persons eller en virksomheds opgaver for det offentlige Endelig følger det af 8, stk. 3-6 at: - forvaltningsmyndigheder der udfører opgaver inden for det sociale område, må kun videregive oplysninger som nævnt i både 8, stk. 1 og 7, stk. 1 hvis der er givet samtykke eller videregivelse er et nødvendigt led i sagens behandling eller nødvendig for at en myndighed kan føre tilsyns- eller kontrolopgaver - private må behandle oplysninger som nævnt i 8, stk. 1, hvis den registrerede har givet sit udtrykkelige samtykke hertil. Derudover kan der ske behandling hvis det er nødvendigt til varetagelse af en berettiget interesse, som klart overstiger hensynet til den registrerede o Private må dog ikke videre give disse oplysninger uden den registreres samtykke, men videregivelse kan dog ske uden samtykke når det sker til varetagelse af offentlige eller private interesser, herunder hensynet til den pågældende selv, der klart overstiger hensynet til de interesser der begrunder hemmeligholdelse. - et fuldstændigt register over straffedomme, må kun føres for en offentlig myndighed 9

10 Personnummer som personoplysning Reglerne for behandling af et personnummer fremgår af 11, stk. 1 hvorefter offentlige myndigheder gerne må behandle oplysninger om personnummer med henblik på entydig identifikation eller som journalnummer. Reglerne for hvornår private må behandle et personnummer fremgår af 11, stk. 2, hvorefter personnummeret må behandles: - når det følger af lov eller bestemmelser fastsat i lov, - når den registrerede har givet samtykke hertil, - når behandlingen finder sted til bl.a. videnskabelige eller statistiske formål eller hvis der er tale om videregivelse som et naturligt led i den normale drift af en virksomhed, og når videregivelse er af afgørende betydning for at sikre en entydig identifikation af den registrerede eller videregivelsen kræves an en offentlig myndighed o Uanset dette, må der ikke ske offentliggørelse af et personnummer uden udtrykkeligt samtykke. Et personnummer er en personoplysning, men i sig selv udgør personnummeret ikke som sådan en følsom personoplysning. Personnummerets store styrke er, at det kan give en tydelig identifikation af alle borgere. De første 6 cifre i personnummeret angiver en persons fødselsdato, mens de sidste 4 cifre er løbenumre, hvoraf man af det sidste der fungerer som et kontrolciffer kan se personens køn. Informationen der udspringer af personnummeret, er altså alder og køn, og dermed personoplysninger der er at betragte som almindelige, og dermed omfattet af 6, stk. 1. Det er dog ikke nummeret i sig selv der giver anledning til betænkeligheder, men personnummerets anvendelse og funktion som giver anledning til databeskyttelsesretlige overvejelser. I fx Norge og Sverige er personnummeret ikke at betragte som en fortrolig oplysning, men personnummeret har en særegen status i Danmark, hvor det bliver brugt som indgangsnøgle til mange forskellige registre. I princippet kan man via personnummeret finde alle oplysninger om en person i alle de systemer, hvor personnummeret anvendes. Derudover kan andre personers personnumre anvendes til identitetstyveri, hvilket er meget udbredt i andre lande, og som ligeledes forekommer i Danmark. 10

11 Som udgangspunkt betragtes personnummeret altså ikke som en følsom personoplysning. På grund af personnumrets særegne status i Danmark som adgangsmiddel til mange tjenester, og almindelige menneskers opfattelse af at personnumret er noget meget privat, må det dog lægges til grund, at personnummeret skal behandles forsigtigt. Derfor må det på trods af behandlingsbetingelserne i persondatalovens 11 behandles varsomt, og må derfor ikke offentliggøres til videreanvendelse i digitale tjenester. Dette må også siges at være gældende, selvom der gives et udtrykkeligt samtykke til behandling, idet det ikke vil være klart for den registrerede, hvor langt samtykket vil række. Hvis et personnummer først bliver offentliggjort til videreanvendelse i digitale tjenester, er det ikke til at forudse i hvilket omfang personnummeret kan anvendes, og derfor er det således udelukket at anvende det i datasæt der skal offentliggøres. Adgangen til at offentliggøre personoplysninger i forhold til PSI-loven Som ovenfor nævnt, følger det af PSI-loven at anden lovgivning respekteres, ligesom direktivet som loven er baseret på har undtagelser til den normale adgang til at offentliggøre data, når det kommer til personoplysninger. Nærmere bestemt følger det af PSI-direktivet, og af PSI-loven at princippet om videreanvendelse ikke er automatisk, når retten til beskyttelse af personoplysninger står på spil. Som udgangspunkt, så giver databeskyttelseslovgivningen ikke mulighed for, at offentlige instanser kan offentliggøre personoplysninger, som er indsamlet til andre normalt administrative formål. Der gælder her en formålsbegrænsning for personoplysninger, som angiver at personoplysninger kun skal benyttes til det formål de er indsamlet. Det følger af 5, stk. 2 i persondataloven, at senere behandling af personoplysninger ikke må være uforenelig med de formål til hvilket oplysningerne oprindeligt blev indsamlet. Det vil sige, at i disse tilfælde er det pga. formålsbegrænsningen ikke muligt at videreanvende personoplysninger som led i initiativer for videreanvendelse for åbne data. Som anført ovenfor under afsnittene om de respektive personoplysninger, følger det af persondataloven, at der er adgang til at behandle personoplysninger når betingelserne herfor er opfyldt. Men denne adgang til behandling strækker sig ikke automatisk til at kunne offentliggøre de pågældende personoplysninger til videreanvendelse i digitale tjenester i medfør af PSI-loven. 11

12 Denne normale adgang der er til behandling vil nemlig oftest vedrøre en intern behandling, som vil være foreneligt med det formål som personoplysningerne er indsamlet til. I forhold til videreanvendelse af åbne data skal man for det første huske på, at det ikke er en selvfølgelighed at personoplysninger udstillet på en offentlig platform vil blive brugt til de formål de er indsamlet til. Derudover skal man huske på, at åbne data er ensbetydende med at man giver adgang til data til en meget stor kreds af personer, og det er ikke hensigtsmæssigt at de får adgang til personoplysninger som kan henføres til specifikke personer, netop fordi det er ikke på forhånd er givet hvilket formål oplysningerne bliver frigivet til, og ej heller til hvilken kreds af personer. Selv et udtrykkeligt samtykke fra en registreret person, kan vise sig ikke at være tilstrækkeligt, idet den samtykkende person ikke på forhånd kan vide hvad der reelt samtykkes til. Dermed kan et samtykke komme til at stille den registrerede i en situation denne slet ikke havde forventet ved afgivelse af samtykket. Derudover gælder, at hvis personoplysninger bliver behandlet i strid med deres oprindelige formål, eller bliver behandlet i strid med deres behandlingsbetingelser, så kan dette få konsekvenser for både den dataejer som i første gang udstiller personoplysningerne, da dette udgør en behandling. Ligeledes kan det få konsekvenser for dem som efterfølgende videreanvender og derved behandler de pågældende oplysninger. Såfremt den kommende revidering af databeskyttelsesdirektivet som ventet kommer til at indføre yderst høje bødetakster for persondatabehandling i strid med dets bestemmelser, kan det hurtigt blive en meget dyr affære for både dataejere såvel som senere videreanvendere. Som udgangspunkt må det derfor lægges til grund, at de datasæt som bliver gjort offentligt tilgængelige til videre brug i digitale tjenester ikke må indeholde personoplysninger, og datasæt indeholdende personoplysninger skal derfor renses for disse før de udstilles. Alternativt kan datasæt indeholdende personoplysninger jf. nedenfor anonymiseres til en sådan grad, at de ikke længere kan siges at indeholde personoplysninger, og dermed ikke længere være omfattet af databeskyttelseslovgivningen. For så vidt angår personoplysninger som allerede er gjort offentligt tilgængelige, kan det følge af lovbestemmelser at disse personoplysninger ikke må videreanvendes. Fx følger det af lov om bygnings- og boligregistrering (BBR) at oplysninger om ejeres økonomiske forhold ikke må 12

13 videreanvendes, selvom disse oplysninger allerede kan findes ved en søgning på nettet. Dette bør således haves for øje når man påtænker at offentliggøre data. Modsat kan det også ved lov være besluttet, at visse personoplysninger godt kan offentliggøres til videreanvendelse i digitale tjenester. Anonymisering af personoplysninger Såfremt man ønsker at offentliggøre et datasæt som indeholder personoplysninger, kan dette lade sig gøre hvis datasættet gennemgår en anonymiseringsproces, således at der ikke længere er genkendelige personoplysninger i datasættet. I det følgende vil anonymisering blive kort berørt, herunder hvad man skal være opmærksom på og hvilke teknikker man bl.a. kan anvende. Der er dog kun tale om en overfladisk gennemgang, så hvis man ønsker en mere dybdegående gennemgang af hvad anonymisering er og hvordan man gør, er det nødvendigt at kigge i den øvrige litteratur om anonymisering, og de tekniske vejledninger der findes hertil Hvis et datasæt med personoplysninger er korrekt anonymiseret, og enkeltpersoner ikke længere er identificerbare, har oplysningerne ikke længere karakter af personoplysninger, og den europæiske databeskyttelseslovgivning finder ikke længere anvendelse. I Danmark vil det sige, at oplysningerne ikke længere er omfattet af persondataloven. Da oplysningerne ikke længere er omfattet af persondataloven, er loven ikke til hinder for offentliggørelse af de pågældende data, og datasættet kan således som udgangspunkt udstilles til videreanvendelse i digitale tjenester. Det skal dog haves for øje, at selvom oplysningerne ikke længere har karakter af personoplysninger, kan der være en risiko for at et datasæt som er anonymiseret, kan kombineres med at andet datasæt på en sådan måde at de oprindelige personoplysninger kan genskabes. I det følgende ses der nærmere på med hvilke metoder personoplysninger kan anonymiseres, og hvilke ting man bør være opmærksom på i forhold til anonymisering og genkendelse af de oprindelige oplysninger. Nærmere definition af anonymisering Anonymisering er omtalt i betragtning 26 i direktiv 95/46/EF, som persondataloven er baseret på. Heri står der, at beskyttelsesprincipperne gælder ikke oplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke længere kan identificeres. For at oplysninger er anonymiseret ifølge betragtning 26, skal der fjernes tilstrækkelige elementer fra dem, så den 13

14 registrerede person ikke længere kan identificeres. Det vil sige, at oplysningerne skal være behandlet på en sådan måde, at de ikke længere kan bruges til at identificere en fysisk person, ved hjælp af alle de hjælpemidler der med rimelighed kan tænkes bragt i anvendelse, for at identificere den pågældende person, af den registeransvarlige eller af tredjemand. Dette betyder, at behandlingen af oplysninger til anonymiseret form skal være uigenkaldelig, og resultatet af anonymisering som en teknik der anvendes på personoplysninger, bør ifølge direktivet være ligeså permanent som sletning af de pågældende personoplysninger. Der sættes dermed en meget høj standard i direktivet, for hvor uigenkaldelig en anonymisering skal være, førend at den kan siges at være fyldestgørende. Lovligheden ved anonymisering Når personoplysninger anonymiseres, er udgangspunktet at personoplysningerne skal være indsamlet og behandlet i overensstemmelse med persondataloven. Ifølge persondatalovens 5, stk. 2 skal indsamlingen ske til udtrykkeligt angivne og saglige formål, og senere behandling må ikke være uforenelig med disse formål. Selve anonymiseringsprocessen af de pågældende personoplysninger, dvs. behandlingen af personoplysningerne for at anonymisere dem må betragtes som senere behandling, og denne behandling skal derfor opfylde kravet om forenelighed, dvs. anonymiseringen må ikke være uforenelig med indsamlingen af oplysninger der er sket til udtrykkeligt angivne og saglige formål. Det er givet, at anonymisering som et led i den senere behandling af personoplysninger kan anses for foreneligt med behandlingens oprindelige formål, såfremt anonymiseringsprocessen med sikkerhed frembringer oplysninger jf. ovenstående definition, hvorfra det ikke det er muligt at genskabe de oprindelige personoplysninger. Det er således ikke i strid med persondatalovens 5, stk. 2 om forenelighed, at anonymisere personoplysninger ved en senere databehandling. Muligheden for at identificere personer i anonymiserede data Anonymiserede oplysninger er som nævnt anonyme oplysninger som tidligere henviste til en identificerbar person, men hvor identifikation ikke længere er mulig. Aggregering og anonymisering skal ske så tidligt som muligt og udføres af den registeransvarlige, eller af en tredjemand som handler på den registeransvarliges vegne, og som besidder de nødvendige specialiserede færdigheder. Det må ikke overlades til en videreanvender, at udføre anonymiseringen dvs. man må ikke udstille personoplysninger, og så stille det som en betingelse 14

15 i en licens at datasættet skal anonymiseres førend at det må videreanvendes. Det skal være anonymiseret, inden det udstilles på en åben platform. Ved anonymisering af oplysninger, må de registeransvarlige tage stilling til muligheden og risikoen for identificering ved deres valg af anonymiseringsmetode. I den henseende er der nogle vigtige faktorer der skal tages i betragtning. Som nævnt ovenfor under definition af anonymisering, er oplysninger anonymiseret når de er behandlet på en sådan måde, at de ikke længere kan bruges til at identificere en person, ved hjælp af alle de hjælpemidler der med rimelighed kan tænkes bragt i anvendelse. Først og fremmest bør de registeransvarlige fokusere på de konkrete hjælpemidler der skal bruges til at fjerne anonymiseringen, herunder de udgifter og den viden der er nødvendigt for at bringe disse hjælpemidler i anvendelse, og vurdere sandsynligheden herfor. De registeransvarlige bør afveje anonymiseringsindsatsen og omkostningerne i forhold til at der kommer flere og flere billige tekniske hjælpemidler til identificering til rådighed, og den stadig større adgang til andre datasæt på baggrund af at offentligheden åbner op for data. Endvidere kan identificeringsrisikoen stige med tiden pga. udviklingen inden for IT og hurtigere og billigere computerkraft. For det andet er de hjælpemidler der tages i anvendelse, hjælpemidler der kan anvendes af den registeransvarlige eller af enhver anden person, dvs. den registeransvarliges egne hjælpemidler skal også tages i betragtning. Det betyder, at hvis en registeransvarlig ikke sletter originale identificerbare oplysninger i et datasæt og den registeransvarlige udleverer en del af datasættet, er det resulterende datasæt stadig personoplysninger og beskyttet af databeskyttelseslovgivningen da der kan ske identifikation af personoplysninger ved sammenkobling med de stadigt eksisterende ikke-anonymiserede personoplysninger. Det er kun hvis den registeransvarlige anonymiserer dataene til et niveau, hvor enkelte hændelser eller personer ikke længere kan identificeres, at det resulterende datasæt kan betragtes som anonymt. Hvis dette gøres effektivt, kan ingen parter udskille bestemte personer, sammenkoble flere poster i et datasæt eller mellem forskellige datasæt eller udlede nogle identificerende oplysninger. Af de anonymiseringsteknikker der bliver gennemgået nedenfor, randomisering og generalisering, er der ulemper ved begge, men de kan også begge afhængigt af omstændighederne og konteksten 15

16 være egnede til at opfylde det ønskede formål uden at krænke registrerede personers privatliv. I forhold til krænkelse af privatliv og identifikation, skal det bemærkes at identificering ikke kun omhandler muligheden for at finde en specifik persons navn eller adresse, men også den potentielle identificerbarhed ved at udskille et bestemt individ, sammenkoble informationer med andre informationer og udlede oplysninger. Databeskyttelseslovgivningen, dvs. persondataloven finder anvendelse uanset den registeransvarliges eller modtagerens hensigter. En tredjemand der behandler et datasæt, som er anonymiseret af den oprindelige registeransvarlige kan gøre dette lovligt uden at skulle tage højde for databeskyttelseslovgivningen, da datasættet pga. anonymiseringen ikke er omfattet af persondataloven, da der ikke længere er tale om personoplysninger. Men tredjemanden skal dog tage hensyn til konteksten og omstændighederne ved de anonymiseringsteknikker den registeransvarlige har anvendt, og hvordan sådanne anonymiserede data skal anvendes. Tredjemanden skal i forbindelse med behandlingen af datasættet og videreanvendelsen af dette, tage stilling til muligheden for identificering og skal ligesom den registeransvarlige tage stilling til de hjælpemidler der kan anvendes til identificering. Hvis der er en uacceptabel risiko for identificering ved tredjemands anvendelse af datasættet, vil datasættet ikke kunne anses for anonymiseret og behandlingen vil derfor igen falde ind under databeskyttelseslovgivningens område. Anonymiseringsteknikker I forhold til anonymisering af personoplysninger, findes der forskellige metoder som er mere eller mindre robuste. Ved anvendelsen af anonymiseringsteknikker, skal de registeransvarlige tage højde for tre risici der er forbundet med anonymisering: Udskilning, som er muligheden for at udskille nogle eller alle de poster i et datasæt som identificerer en bestemt person. Sammenkobling, som er muligheden for at koble mindst to poster vedrørende den samme registrerede eller en gruppe registrerede sammen. Udledning, som er muligheden for med stor sandsynlighed at udlede værdien af en attribut i et datasæt fra værdierne af et sæt andre attributter. En løsning som kan beskytte mod disse tre risici vil være robust over for genidentificering ved hjælp af de mest sandsynlige og rimelige hjælpemidler som den registeransvarlige og en tredjemand kan anvende. Det må dog understreges, at forskning har vist at ingen teknikker som 16

17 sådan er uden ulemper. Der er som udgangspunkt to overordnede fremgangsmåder for anonymisering, som er baseret på henholdsvis randomisering og på generalisering, og under disse er der nogle øvrige teknikker som vil blive berørt i det følgende. Randomisering Anonymiseringsmetoden randomisering, består af en gruppe forskellige teknikker som ændrer nøjagtigheden af dataene i et datasæt, så forbindelsen mellem data og en person fjernes. Hvis dataene i et datasæt er unøjagtige nok, kan de ikke længere henvise til en bestemt person. Randomisering kan beskytte mod udledningsangreb og kan kombineres med generaliseringsteknikker for at øge beskyttelsen personoplysninger, men randomisering reducerer ikke i sig selv de enkelte posters individualitet. De forskellige teknikker af randomisering vil i det følgende blive kort beskrevet: Tilførsel af støj Tilførsel af støj anvendes særligt, når informationer i et datasæt kan få store konsekvenser for specifikke personer. Teknikken består i, at ændre oplysninger i et datasæt så de ikke er helt nøjagtige, mens den overordnede fordeling opretholdes. En behandler af et datasæt vil antage, at værdierne i datasættet er nøjagtige, men dette vil kun være tilfældet til en vis grad. Hvis tilførsel af støj bruges effektivt, vil en specifik person ikke kunne identificeres, og en tredjemand vil ikke kunne reparere dataene eller finde ud af hvordan dataene er ændret. Det er stadig muligt at udskille poster relateret til en person, ligesom det er muligt at sammenkoble poster relateret til den samme person, mens udledningsangreb også er mulige men der vil være mindre chancer for at disse lykkes. For at mindske risikoen for udskilning, sammenkobling og udledning, skal tilførsel af støj normalt kombineres med andre anonymiseringsteknikker, såsom fjernelse af åbenlyse værdier og identifikatorer. Permutation Permutation består i, at værdierne i et datasæt ombyttes, så nogle af værdierne sammenkobles kunstigt med forskellige registrerede personer. Dette er gavnligt hvis det er vigtigt at bevare den nøjagtige fordeling af enkelte værdier i et datasæt. Denne form for randomisering kan betragtes som en særlig afart af tilførsel af støj. Da det til tider kan være vanskeligt at generere konsekvent 17

18 støj, og det muligvis ikke er nok at ændre værdierne en smule i et datasæt for at beskytte privatlivets fred, kan permutation være et alternativ som ændrer værdierne i et datasæt ved at ombytte dem fra en post til en anden. Ombytningen vil betyde, at værdiernes interval og fordeling er den samme, men det vil sammenhængen mellem værdierne og personerne i datasættet ikke være. Ligesom ved tilførsel af støj, er der ikke garanti for at permutation sikrer anonymisering, og permutation bør derfor altid kombineres med fjernelse af åbenlyse værdier og identifikatorer. Generalisering Den anden gruppe af anonymiseringsteknikker er generalisering, som går ud på at generalisere, eller udvande de registrerede personers værdier, ved at ændre på målestoksforholdet eller størrelsen. Dvs. man kan anvende en region i stedet for en by, eller en måned i stedet for en uge. Denne metode kan være effektiv til at undgå at udskille specifikke personer, men anonymiseringen fungerer ikke altid, og det kræver specifikke fremgangsmåder for undgå sammenkobling og udledning Aggregering og k-anonymitet Formålet med denne teknik er at forhindre, at en registreret person bliver udskilt, ved at gruppere personen med mindst k andre personer. For at sikre, at en person ikke bliver udskilt bliver værdierne i et datasæt generaliseret så meget, at hver enkelt person har samme værdi. Når man sænker klasseinddelingen af personer fra f.eks. en by til et land bliver et større antal registrerede omfattet af datasættet. Fødselsdatoer kan generaliseres til intervaller eller måneder, og andre værdier som fx indtægt, vægt, højde og lignende kan også inddeles i intervaller. Dette bør gøres, når sammenhængen mellem forskellige specifikke værdier i et datasæt kan medføre til direkte identifikation. Ved anvendelse af denne anonymiseringsmetode bør det ikke længere være muligt at udskille en person i en gruppe af k-brugere, da generaliseringen har medført at personerne nu har samme værdi i datasættet. Der er dog stadig mulighed for sammenkobling, og den største ulempe ved denne metode er at den ikke forhindrer udledningsangreb L-diversitet/t-nærhed L-diversitet bygger oven på teknikken k-anonymitet for at sikre imod udledningsangreb. Dette sker ved at sørge for, at hver enkelt attribut i et datasæt har mindst l forskellige værdier i hver klasse. 18

19 Det vigtigste formål er at sikre imod, at en angriber med baggrundsviden om en bestemt registreret, altid vil have en betydelig usikkerhed når denne forsøger at udlede noget fra de informationer der er at finde i datasættet. L-diversitet er en god metode til at beskytte data mod udledningsangreb, når værdierne i datasættet er godt fordelt. T-nærhed er en videreudvikling af l-diversitet, hvis formål er at frembringe klasser som ligner den oprindelige fordeling af værdier i datasættet. Til det formål sættes en yderligere begrænsning på klasserne, idet der ikke kun skal være l forskellige værdier i hver klasse, men hver enkelt værdi skal også være repræsenteret så mange gange, som det er nødvendigt for at spejle den oprindelige fordeling af hver enkelt værdi. Denne anonymiseringsteknik beskytter ligesom k-anonymitet mod udskilning, og den største forbedring i forhold til k-anonymitet er, at det ikke er muligt længere at anrette udledningsangreb med 100 % sikkerhed. Der er dog stadig en risiko for sammenkobling. Pseudonymisering Pseudonymisering fungerer normalt ved, at man erstatter én værdi i en post med en anden. En fysisk person kan derfor blive indirekte identificeret, så hvis pseudonymisering anvendes alene, giver det ikke et anonymt datasæt. Pseudonymisering vil derfor som udgangspunkt gøre det vanskeligere at knytte et datasæt til en registreret, men hvis pseudonymisering anvendes alene vil det ikke give et anonymt datasæt. Det kan således være en nyttig sikkerhedsforanstaltning, men bør ikke betragtes som en metode til anonymisering. Pseudonymisering er medtaget i denne fremstilling, for at gøre opmærksom på at det ikke er en effektiv metode til anonymisering. Registeransvarlige har ofte den antagelse, at det er tilstrækkeligt at fjerne eller erstatte flere attributter i et datasæt for at gøre dette anonymt, men der eksisterer mange eksempler på at dette ikke er tilfældet. Det vil ikke forhindre en tredjemand i at identificere en registreret person, hvis der alene er tale om at ændre id et, hvis der stadig er andre identifikatorer i datasættet, eller hvis andre værdier kan identificere person. Det er vigtigt at huske på, at en angriber allerede kan have noget information på forhånd, der kan hjælpe med at identificere en registreret person. Hvis der fx alene er tale om at et navn er ændret til en talværdi, mens andre attributter er kendt af angriberen, så vil denne kunne identificere den registrerede. I flere situationer kan det være lige så nemt at identificere en registreret person i et pseudonymiseret datasæt som i de oprindelige originale data. Det er derfor nødvendigt at der 19

20 gøres en større indsats for at anonymisere et datasæt, ved enten at generalisere, randomisere, eller slette de originale data. Anvendelse af pseudonymisering alene er således ikke tilstrækkeligt. Opsamling på anonymisering Ovenfor er forskellige anonymiseringsteknikker kort beskrevet, samt hvilke fordele og ulemper der er ved de respektive teknikker. Som det er beskrevet, kan et anonymiseret datasæt stadig udsætte registrerede personer en risiko for at blive identificeret. Anonymiseringsteknikker kan sikre beskyttelsen af privatlivets fred for den enkelte registrerede person, men kun hvis anonymiseringen anvendes korrekt. Det betyder, at kravene til konteksten og formålet med anonymiseringsprocessen skal være klart beskrevet for at opnå et ønsket anonymiseringsniveau. Ved anvendelse af anonymiseringsteknikker, skal de registeransvarlige overveje de begrænsninger nogle af teknikkerne har, samt tage hensyn til de formål anonymiseringen skal forfølge når et datasæt offentliggøres. Ingen af de teknikker der er beskrevet ovenfor, opfylder i sig selv kriterierne for en effektiv anonymisering hvor der ikke kan ske udskillelse, sammenkobling eller udledning. Nogle af de beskrevne risici kan fjernes helt eller delvist ved brug af en given teknik, så man skal være omhyggelig med at få afklaret hvordan en teknik anvendes i den pågældende situation, samt hvordan en kombination af disse kan bruges som metode til at sikre datasættet imod angreb. Det er derfor op til de registeransvarlige at danne sig et overblik over til hvilket formål dataene skal anvendes, og i den kontekst få afklaret hvilke eller hvilke anonymiseringsteknikker der er optimale i den givne situation, i forhold til risikoen for af-anonymisering af de anonymiserede data, og i forhold til hvilke hjælpemidler der kan bruges til af af-anonymisere og dermed genkende personoplysninger. I den sammenhæng er det vigtigt at gøre opmærksom på, at registeransvarlige ikke bør offentliggøre data uden efterfølgende at overvåge dem. På grund af risikoen for identifikation bør de registeransvarlige regelmæssigt finde nye risici og evaluere risiciene igen, vurdere om kontrollen med de konstaterede risici er tilstrækkelig, og overvåge og kontrollere risiciene. Dette er en god måde at sikre imod, at et datasæt bliver af-anonymiseret pga. risici der ikke var taget højde for ved den oprindelige anonymiseringsproces. 20

Uddrag af persondataloven

Uddrag af persondataloven Uddrag af persondataloven Behandling af oplysninger 5. Oplysninger skal behandles i overensstemmelse med god databehandlingsskik. Stk. 2. Indsamling af oplysninger skal ske til udtrykkeligt angivne og

Læs mere

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007)

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007) Side 1 af 8 Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007) Kapitel 1 Lovens område 1. Stk. 7. Loven gælder for enhver form for behandling af personoplysninger i forbindelse

Læs mere

Uddrag af lov om behandling af personoplysninger

Uddrag af lov om behandling af personoplysninger Myndighed: Justitsministeriet Udskriftsdato: 7. oktober 2016 (Gældende) Uddrag af lov om behandling af personoplysninger 1-4. (Udelades) Afsnit II Behandlingsregler Kapitel 4 Behandling af oplysninger

Læs mere

Retsudvalget REU Alm.del endeligt svar på spørgsmål 919 Offentligt

Retsudvalget REU Alm.del endeligt svar på spørgsmål 919 Offentligt Retsudvalget 2016-17 REU Alm.del endeligt svar på spørgsmål 919 Offentligt Folketinget Retsudvalget Christiansborg 1240 København K Lovafdelingen Dato: 5. oktober 2017 Kontor: Databeskyttelseskontoret

Læs mere

Journalisering af samlede svar førte til behandling af personoplysninger i strid med persondataloven.

Journalisering af samlede svar førte til behandling af personoplysninger i strid med persondataloven. 2015-32 Journalisering af samlede svar førte til behandling af personoplysninger i strid med persondataloven. Kommune burde derfor have adskilt sine svar 15. juni 2015 En mand havde en omfattende korrespondance

Læs mere

Rammer og vilkår for brug af data. 25. oktober 2016 Afdelingschef Birgitte Drewes,

Rammer og vilkår for brug af data. 25. oktober 2016 Afdelingschef Birgitte Drewes, Rammer og vilkår for brug af data 25. oktober 2016 Afdelingschef Birgitte Drewes, bidr@sundhedsdata.dk Lovgivning - sundhedsdata Sundhedsloven Persondataloven I sundhedsloven fastlægges reglerne for indhentning/videregivelse

Læs mere

Notat om brug og afgivelse af reference.

Notat om brug og afgivelse af reference. Notat om brug og afgivelse af reference. Indledning Notatet dækker over to situationer. I den ene situation er det dig som ansættelsesmyndighed, der bruger en reference, i den anden situation er det dig,

Læs mere

Persondataloven kort fortalt

Persondataloven kort fortalt Persondataloven kort fortalt Den 27. februar 2013 Indhold Indledning... 2 Lov om behandling af personoplysninger... 3 På hvilke områder gælder loven?... 3 Hvilke typer behandling?... 3 Undtagelser fra

Læs mere

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.]

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.] !"#!"$! % &&&$!"$! [Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.] Du har fra Rigspolitiet modtaget en blank børneattest, dvs. en attest, hvoraf det fremgår, at den person, oplysningerne

Læs mere

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup 14. maj 2012 Orientering om nye regler om private dataansvarliges anmeldelsespligt Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker Vandforsyningens håndtering af den kommende persondataforordning Danske Vandværker Praktiske spørgsmål vi modtog Hvem har ansvaret for beskyttelse af forbrugernes persondata? Er medlemslister i ringbindsmapper

Læs mere

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler Blankettype: Privat virksomhed Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger om rent private forhold der foreta- ges for en privat dataansvarlig. Felter markeret

Læs mere

Almindelig viden om persondataforordningen

Almindelig viden om persondataforordningen Almindelig viden om persondataforordningen Hvad er persondata? En Personoplysning er enhver form for information om en identificeret eller identificerbar fysisk person ( den registrerede ). Dette gælder

Læs mere

Redegørelse for, om Region Hovedstaden har handlet i strid med Persondataloven Akuttelefonen 1813

Redegørelse for, om Region Hovedstaden har handlet i strid med Persondataloven Akuttelefonen 1813 PRAKTISERENDE LÆGERS ORGANISATION Redegørelse for, om Region Hovedstaden har handlet i strid med Persondataloven Akuttelefonen 1813 Det er PLO s vurdering, at Region Hovedstaden i forbindelse med udlevering

Læs mere

N O TAT. Et kommunalbestyrelsesmedlems offentliggørelse af oplysninger fra en personalesag på Facebook. 1. Sagens baggrund

N O TAT. Et kommunalbestyrelsesmedlems offentliggørelse af oplysninger fra en personalesag på Facebook. 1. Sagens baggrund N O TAT Et kommunalbestyrelsesmedlems offentliggørelse af oplysninger fra en personalesag på Facebook 1. Sagens baggrund Ved e-mails af 5. juli 2010 og 3. august 2010 har Frederiksberg Kommune rettet henvendelse

Læs mere

Forslag til lov om ændring af forvaltningsloven og lov om behandling af personoplysninger

Forslag til lov om ændring af forvaltningsloven og lov om behandling af personoplysninger Forslag til lov om ændring af forvaltningsloven og lov om behandling af personoplysninger (Udveksling af oplysninger mellem forvaltningsmyndigheder) Fremsat den 25. februar 2009 af justitsministeren (Brian

Læs mere

Persondataloven - regler og praksis for god databehandlingsskik. Forskning med personoplysninger

Persondataloven - regler og praksis for god databehandlingsskik. Forskning med personoplysninger Artikel til METODE & DATA november 2008 Persondataloven - regler og praksis for god databehandlingsskik Forskning med personoplysninger Specialkonsulent, mag. art. Camilla Daasnes, Datatilsynet Artiklen

Læs mere

Incest, samleje eller anden kønslig omgang med børn under 15 år

Incest, samleje eller anden kønslig omgang med børn under 15 år [Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.]!"#!"$! % &&&$!"$! Du har fra Rigspolitiet modtaget en positiv børneattest, dvs. en attest, hvoraf det fremgår, at den person, oplysningerne

Læs mere

Vejledning om videregivelse. af personoplysninger til brug for forskning og statistik

Vejledning om videregivelse. af personoplysninger til brug for forskning og statistik Vejledning om videregivelse af personoplysninger til brug for forskning og statistik 1 Indholdsfortegnelse 1. Baggrund 2. Definitioner 2.1. Personoplysning 2.2. Anonymiseret personoplysning (i persondatalovens

Læs mere

Ulrich Stigaard Jensen. Persondataloven og sagsbehandling i praksis

Ulrich Stigaard Jensen. Persondataloven og sagsbehandling i praksis Ulrich Stigaard Jensen Persondataloven og sagsbehandling i praksis Jurist- og Økonomforbundets Forlag 2011 Kapitel 1. Persondatalovens baggrund og formål 13 1.1. Persondatalovens baggrund og formål 13

Læs mere

Behandling af personoplysninger i (i forhold til persondataloven)

Behandling af personoplysninger i <virksomhed> (i forhold til persondataloven) Behandling af personoplysninger i (i forhold til persondataloven) Version 1.3 1 Hvad er personoplysninger Personoplysninger (også kaldet persondata) er oplysninger, der kan henføres til en

Læs mere

Hvordan er det med datasikkerhed og privacy? Highlights fra persondataloven Århus, d. 14. marts 2017 Erika Wolf, jurist, Sundhedsdatastyrelsen

Hvordan er det med datasikkerhed og privacy? Highlights fra persondataloven Århus, d. 14. marts 2017 Erika Wolf, jurist, Sundhedsdatastyrelsen Hvordan er det med datasikkerhed og privacy? Highlights fra persondataloven Århus, d. 14. marts 2017 Erika Wolf, jurist, Sundhedsdatastyrelsen Hvem er jeg, og hvor kommer jeg fra? Erika Wolf, jurist i

Læs mere

Persondatareguleringen. Hvorfor, hvornår, systemet og lidt om maj 2018

Persondatareguleringen. Hvorfor, hvornår, systemet og lidt om maj 2018 Persondatareguleringen Hvorfor, hvornår, systemet og lidt om maj 2018 Hvorfor? I er så meget i et brændpunkt for persondataretten, at vi er nødt til at stige op i helikopteren. Hvad tænker EU? Hvad tænker

Læs mere

Specifik information om persondataloven

Specifik information om persondataloven Specifik information om persondataloven Lovens område Med persondataloven er der fastsat generelle regler om behandling af personoplysninger for offentlige myndigheder og den private sektor. Loven omfatter

Læs mere

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen ) DATABEHANDLERAFTALE Mellem Silkeborg Kommune Søvej 1 8600 Silkeborg CVR. nr.: 29 18 96 41 (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren

Læs mere

Anmeldelsesskema for Videnskabelige og statistiske undersøgelser på SDU

Anmeldelsesskema for Videnskabelige og statistiske undersøgelser på SDU Anmeldelsesskema for Videnskabelige og statistiske undersøgelser på SDU Bemærk: Der henvises til vejledningen ved udfyldelsen af nedenstående anmeldelsesskema. 1. Dataansvarlig myndighed Myndighedens navn:

Læs mere

X. REGLERNE OM VIDEREGIVELSE AF OPLYSNINGER TIL EN ANDEN FORVALTNINGSMYNDIGHED M.V. 174. Bestemmelserne i forvaltningslovens 28-32 indeholder nærmere

X. REGLERNE OM VIDEREGIVELSE AF OPLYSNINGER TIL EN ANDEN FORVALTNINGSMYNDIGHED M.V. 174. Bestemmelserne i forvaltningslovens 28-32 indeholder nærmere X. REGLERNE OM VIDEREGIVELSE AF OPLYSNINGER TIL EN ANDEN FORVALTNINGSMYNDIGHED M.V. 174. Bestemmelserne i forvaltningslovens 28-32 indeholder nærmere regler om, i hvilke tilfælde en forvaltningsmyndighed

Læs mere

TAVSHEDSPLIGT OG VIDEREGIVELSE AF OPLYSNINGER

TAVSHEDSPLIGT OG VIDEREGIVELSE AF OPLYSNINGER TAVSHEDSPLIGT OG VIDEREGIVELSE AF OPLYSNINGER Reglerne om tavshedspligt og videregivelse af fortrolige oplysninger har stor praktisk betydning, da vi som medarbejdere i kommunen behandler mange personfølsomme

Læs mere

Skema til kortlægning af dataflow i STIL s produkter

Skema til kortlægning af dataflow i STIL s produkter Version 1.0 Skema til kortlægning af dataflow i STIL s produkter Dette skema anvendes til at kortlægge dataflowet i de STIL systemer, hvor der behandles personoplysninger. Skemaet skal udfyldes for alle

Læs mere

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler Blankettype: Stillingsbesættende virksomhed Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på erhvervsmæssig

Læs mere

Ordbog. Forside. Adware

Ordbog. Forside. Adware Forside Ordbog Adware Et lille program som placeres på en brugers pc, og som derefter henter reklamer fra internettet, uden at brugeren har bedt om det. Artikel 29-gruppen Den særlige gruppe vedrørende

Læs mere

Indenrigs- og Sundhedsministeriet Slotsholmsgade 10-12 1216 København K. Sendt til: primsund@im.dk med kopi til sah@im.dk

Indenrigs- og Sundhedsministeriet Slotsholmsgade 10-12 1216 København K. Sendt til: primsund@im.dk med kopi til sah@im.dk Indenrigs- og Sundhedsministeriet Slotsholmsgade 10-12 1216 København K Sendt til: primsund@im.dk med kopi til sah@im.dk Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29 Telefon 3319

Læs mere

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler Blankettype: Advarselsregister Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på at advare andre

Læs mere

Screeningsspørgsmål til udarbejdelse af PIA i fuld skala

Screeningsspørgsmål til udarbejdelse af PIA i fuld skala Screeningsspørgsmål til udarbejdelse af PIA i fuld skala Appendiks 1 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Screeningsspørgsmål til PIA i fuld skala... 3 Teknologi...

Læs mere

Dansk Supermarked Administration A/S CVR-nr Bjødstrupvej 18, Holme 8270 Højbjerg

Dansk Supermarked Administration A/S CVR-nr Bjødstrupvej 18, Holme 8270 Højbjerg Dansk Supermarked Administration A/S CVR-nr. 89-49-29-12 Bjødstrupvej 18, Holme 8270 Højbjerg 3. juni 2002 Vedrørende tv-overvågning Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Persondataforordningen. Henrik Aslund Pedersen Partner

Persondataforordningen. Henrik Aslund Pedersen Partner www.pwc.dk Persondataforordningen Morgenmøde Henrik Aslund Pedersen Partner Revision. Skat. Rådgivning. Hvorfor en ny Persondataforordning? EU persondataforordning - Morgenmøde Hillerød 2 Hvorfor en ny

Læs mere

ANMELDELSE VEDRØRENDE OVERFØRSEL AF PERSONOPLYSNINGER TIL UDLANDET

ANMELDELSE VEDRØRENDE OVERFØRSEL AF PERSONOPLYSNINGER TIL UDLANDET ANMELDELSE VEDRØRENDE OVERFØRSEL AF PERSONOPLYSNINGER TIL UDLANDET Udfyld venligst formular på skærmen og send den til Dátueftirlitið ved at trykke på knappen Submit form. 1. DATAANSVARLIG Offentlig institution

Læs mere

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel

Læs mere

Anmeldelsesskema for Videnskabelige og statistiske undersøgelser på SDU.

Anmeldelsesskema for Videnskabelige og statistiske undersøgelser på SDU. Anmeldelsesskema for Videnskabelige og statistiske undersøgelser på SDU. 1. Dataansvarlig myndighed Myndighedens navn: Syddansk Universitet Campusvej 55 5230 Odense M Institut og fakultets navn: Fx Klinisk

Læs mere

Vejledning til udfyldelse af anmeldelsesskema til Datatilsynet

Vejledning til udfyldelse af anmeldelsesskema til Datatilsynet Afdeling: Direktionssekretariatet Udarbejdet af: Dorte Riskjær Larsen Sagsnr.: 13/1121 E-mail: dorte.riskjaer.larsen @ouh.regionsyddanmark.dk Dato: 26. september 2013 Telefon: 2128 4616 Vejledning til

Læs mere

Nedenfor under punkt 1 er en kort gennemgang af reglerne om ordregiverens forpligtelse til at overdrage oplysninger til leverandøren.

Nedenfor under punkt 1 er en kort gennemgang af reglerne om ordregiverens forpligtelse til at overdrage oplysninger til leverandøren. N O TAT Udveksling af medarbejderoplysninger ime l- lem ordregiver og leverandøren April 2011 Side 1/9 Dette notat behandler spørgsmålet om udveksling af medarbejderoplysninger imellem ordregiver og leverandøren

Læs mere

Bilag 2. Udkast til anmeldelse til Datatilsynet

Bilag 2. Udkast til anmeldelse til Datatilsynet Side 1 af 6 DATATILSYNET Borgergade 28, 5. 1300 København K Telefon 3319 3200 Bilag 2. Udkast til anmeldelse til Datatilsynet Anmeldelse af behandlinger der foretages for den offentlige forvaltning 1.Dataansvarlig

Læs mere

Rigsarkivets konference 2. november 2016

Rigsarkivets konference 2. november 2016 Pligten til at huske retten til at blive glemt Rigsarkivets konference 2. november 2016 Birgit Kleis, kommitteret i Datatilsynet Persondatabeskyttelse: afvejning af hensyn Privatlivets fred Informations-

Læs mere

Juridiske aspekter af online marketing

Juridiske aspekter af online marketing Juridiske aspekter af online marketing Jan Trzaskowski, juridisk konsulent IBC konference om online marketing den 13. december 2001 2 Internet-juraens 1. læresætning Forbrugerbeskyttelse i den nye økonomi

Læs mere

Udvalgte sagsbehandlingsregler

Udvalgte sagsbehandlingsregler Udvalgte sagsbehandlingsregler - Med fokus på sagsbehandling på området for kropsbårne hjælpemidler www.klindtconsult.dk 1 Ansøgning Formelt krav: Ingen Materielt krav: Hvis der skal spørges ind til borgerens

Læs mere

Forsvarets videregivelse af personaleoplysninger til brug for markedsføring

Forsvarets videregivelse af personaleoplysninger til brug for markedsføring Forsvarets videregivelse af personaleoplysninger til brug for markedsføring Brevdato: 19.08.08 Journalnummer: 2008-632-0034 Datatilsynet vender hermed tilbage til sagen, hvor Forsvarets Personeltjeneste

Læs mere

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler Blankettype: Kreditoplysning Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på erhvervsmæssig videregivelse

Læs mere

PERSONDATALOVEN - UDFORDRINGER. Birthe Boisen, Juridisk Konsulent Tlf

PERSONDATALOVEN - UDFORDRINGER. Birthe Boisen, Juridisk Konsulent Tlf PERSONDATALOVEN - UDFORDRINGER Birthe Boisen, Juridisk Konsulent Tlf. 21 45 22 48 bfb@danskfjernvarme.dk PERSONDATALOVEN OG PERSONDATAFORORDNINGEN Persondataloven Lov om behandling af personoplysninger,

Læs mere

EDI-guide Skadehistorik for erhverv og landbrug Bilag 3 Regler for personoplysninger og oplysninger om erhvervskunder

EDI-guide Skadehistorik for erhverv og landbrug Bilag 3 Regler for personoplysninger og oplysninger om erhvervskunder EDI-guide Skadehistorik for erhverv og landbrug Bilag 3 Regler for personoplysninger og oplysninger om erhvervskunder Version 1.0 Final Dokumentoplysninger Titel: Projekt: EDI-guide Skadehistorik Bilag

Læs mere

Har I styr på reglerne? Forsyningsselskabers behandling af persondata

Har I styr på reglerne? Forsyningsselskabers behandling af persondata Har I styr på reglerne? Forsyningsselskabers behandling af persondata Langt de fleste virksomheder vil i forbindelse med deres virke få adgang til persondata af den ene eller anden slags. En forsyningsvirksomhed

Læs mere

Oplysningerne opbevares hos databehandler. Databehandlerens adresse Weidekampsgade 6, 2300 København S

Oplysningerne opbevares hos databehandler. Databehandlerens adresse Weidekampsgade 6, 2300 København S Benyt anmeldelse som kladde. Afkryds de felter, du ønsker at genbruge, eller genbrug hele blanketten. 1.Dataansvarlig myndighed Navn Haderslev Kommune Adresse Gåskærgade 26-28 Kommunekode (For kommuner

Læs mere

ARTIKEL 29 -GRUPPEN VEDRØRENDE DATABESKYTTELSE. Artikel 29-gruppen vedrørende databeskyttelse

ARTIKEL 29 -GRUPPEN VEDRØRENDE DATABESKYTTELSE. Artikel 29-gruppen vedrørende databeskyttelse ARTIKEL 29 -GRUPPEN VEDRØRENDE DATABESKYTTELSE 5058/00/DA/endelig WP 33 Artikel 29-gruppen vedrørende databeskyttelse Udtalelse 5/2000 om Brugen af offentlige registre til reverse- eller flerkriterie-søgetjenester

Læs mere

Vejledning til udfyldelse af anmeldelsesskemaet for Sundhedsvidenskabelig

Vejledning til udfyldelse af anmeldelsesskemaet for Sundhedsvidenskabelig Gældende fra 2. marts 2015 og erstatter tidligere vejledninger Vejledning til udfyldelse af anmeldelsesskemaet for Sundhedsvidenskabelig forskning i Region Syddanmark Generelt om anmeldelse Alle forskningsprojekter

Læs mere

Anmeldelse forskningsprojekter herunder forskningsbiobanker

Anmeldelse forskningsprojekter herunder forskningsbiobanker Anmeldelse forskningsprojekter herunder forskningsbiobanker Dansk Selskab for GCP - 3. november 2014 Annette Sand juridisk konsulent www.regionmidtjylland.dk Program Præsentation og formål Kort om persondataloven

Læs mere

hos statslige myndigheder

hos statslige myndigheder IT-Universitetet i København Rued Langgaards Vej 7 2300 København S Sendt til: itu@itu.dk 25. juni 2015 Udtalelse til anmeldelsen Videnskabelige og statistiske undersøgelser hos statslige myndigheder Datatilsynet

Læs mere

Kommunerne og FynBus. Postnr By Mobil-tlf. Bopælskommune. Kommunens stempel. E-mail. 4. Beskrivelse af handicap. 8. Udfyldes af kommunen

Kommunerne og FynBus. Postnr By Mobil-tlf. Bopælskommune. Kommunens stempel. E-mail. 4. Beskrivelse af handicap. 8. Udfyldes af kommunen ANSØGNING - Handicapkørsel (SBH) om optagelse i Kørselsordning for svært bevægelseshæmmede, iflg. lov om trafikselskaber 11 1. Ved kørsel udenfor Fyn skal rejsen foregå som en togrejse, der betales af

Læs mere

Den juridiske ramme for datadeling i sagsbehandlingen på socialområdet

Den juridiske ramme for datadeling i sagsbehandlingen på socialområdet Justitsministeriet Social- og Indenrigsministeriet KL Finansministeriet 2017 Den juridiske ramme for datadeling i sagsbehandlingen på socialområdet 1. Introduktion Som led i initiativ 4.4a i Strategi for

Læs mere

Hjørring Kommune 24/11/2011. Tidlig indsats. Vejledning i anvendelse af samtalerne som ledelsesredskab. side 1 af 13

Hjørring Kommune 24/11/2011. Tidlig indsats. Vejledning i anvendelse af samtalerne som ledelsesredskab. side 1 af 13 Tidlig indsats Vejledning i anvendelse af samtalerne som ledelsesredskab side 1 af 13 Retningslinjer for tidlig indsats ved fravær Vejledning i anvendelse af samtalerne som ledelsesredskab Kommunens ledere

Læs mere

Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på at føre en spærreliste.

Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på at føre en spærreliste. Blankettype: Spærreliste Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på at føre en spærreliste.

Læs mere

ELEKTRONISK VINDUESKIGGERI HVOR ER

ELEKTRONISK VINDUESKIGGERI HVOR ER ELEKTRONISK VINDUESKIGGERI HVOR ER GRÆNSEN? Af advokat, LL.M., Benjamin Lundström og advokat, HD(O), Pernille Borup Vejlsgaard fra advokatfirmaet von Haller. Ifølge den nugældende lovgivning er der grænser

Læs mere

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx DATABEHANDLERAFTALE Mellem Svendborg Kommune Ramsherred 5 5700 Svendborg CVR. nr.: 29189730 (herefter Kommunen ) og XXXXXX xxxxxx xxxx CVR. nr.: [XXXX] (herefter Leverandøren ) er der indgået nedenstående

Læs mere

Persondataloven og sundhedsvidenskabelige forskningsprojekter

Persondataloven og sundhedsvidenskabelige forskningsprojekter Persondataloven og sundhedsvidenskabelige forskningsprojekter Fuldmægtig Signe Astrid Bruun Fuldmægtig Martin Nybye-Petersen Datatilsynet 9. januar 2014 Dagens Program Datatilsynets struktur og arbejdsopgaver

Læs mere

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes.

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes. Region Syddanmark Damhaven 12 7100 Vejle Sendt til kontakt@regionsyddanmark.dk 4. februar 2013 Vedrørende sikkerhedsbrist i Region Syddanmark Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

BILAG 14: DATABEHANDLERAFTALE

BILAG 14: DATABEHANDLERAFTALE BILAG 14: DATABEHANDLERAFTALE Side 1/9 Aftale om databehandling mellem Kunden og Leverandøren Side 2/9 Vejledning: [Dette bilag kan ikke ændres af tilbudsgiver. Bilaget udgør således i sin helhed et mindstekrav

Læs mere

Datatilsynets vejledning om persondataloven for Grønland

Datatilsynets vejledning om persondataloven for Grønland Datatilsynets vejledning om persondataloven for Grønland 1. I HVILKE TILFÆLDE GÆLDER PERSONDATALOVEN? 3 1.1. Hvornår gælder loven? ( 1) 3 1.2. Hvornår gælder loven ikke? ( 2) 4 1.3. Hvor gælder loven?

Læs mere

Ombudsmanden rejste på baggrund af en konkret sag en egen drift-sag om forståelsen af persondatalovens 10.

Ombudsmanden rejste på baggrund af en konkret sag en egen drift-sag om forståelsen af persondatalovens 10. 2009 5-2 Aktindsigt i fortegnelser over bivirkninger af et lægemiddel Meroffentlighed. Anonymisering Ombudsmanden rejste på baggrund af en konkret sag en egen drift-sag om forståelsen af persondatalovens

Læs mere

Vejledning om samtykke og tavshedspligt. 01-12-2014 Socialforvaltningen, Københavns Kommune

Vejledning om samtykke og tavshedspligt. 01-12-2014 Socialforvaltningen, Københavns Kommune Vejledning om samtykke og tavshedspligt 01-12-2014 Socialforvaltningen, Københavns Kommune Indhold 1. Samtykke... 3 1.1 Hvad er et samtykke og hvornår bruges det?... 3 1.2 Når borgeren ikke kan give et

Læs mere

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT DATABEHANDLERAFTALE Aftale omkring behandling af persondata Udarbejdet af: Mentor IT Aftalen Denne databehandleraftale (Aftalen) er er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig)

Læs mere

I arkivloven, jf. lovbekendtgørelse nr. 1035 af 21. august 2007, som ændret ved lov nr. 1170 af 10. december 2008, foretages følgende ændringer:

I arkivloven, jf. lovbekendtgørelse nr. 1035 af 21. august 2007, som ændret ved lov nr. 1170 af 10. december 2008, foretages følgende ændringer: Lovforslag (udkast) 17. februar 2015 Forslag til lov om ændring af arkivloven I arkivloven, jf. lovbekendtgørelse nr. 1035 af 21. august 2007, som ændret ved lov nr. 1170 af 10. december 2008, foretages

Læs mere

Medlemsfastholdelse når medlemsdata, services og kommunikation spiller sammen. - IT-advokatens syn på informationshåndtering i organisationer

Medlemsfastholdelse når medlemsdata, services og kommunikation spiller sammen. - IT-advokatens syn på informationshåndtering i organisationer Advokat Per Mejer ActaAdvokater Medlemsfastholdelse når medlemsdata, services og kommunikation spiller sammen - IT-advokatens syn på informationshåndtering i organisationer 29. oktober 2013 IDA Konferencecenter

Læs mere

Databehandleraftale. om [Indsæt navn på aftale]

Databehandleraftale. om [Indsæt navn på aftale] Databehandleraftale om [Indsæt navn på aftale] Jf. bestemmelserne i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer (Persondataloven) mellem Vesthimmerlands Kommune

Læs mere

Når du udstiller dine data

Når du udstiller dine data Når du udstiller dine data Juridisk vejledning i at sætte Offentlige Data I Spil Version 1.0, november 2010 > Når du udstiller dine data Juridisk vejledning i at sætte Offentlige Data I Spil Udgivet af:

Læs mere

Oplysningerne opbevares hos databehandler

Oplysningerne opbevares hos databehandler Benyt anmeldelse som kladde. Afkryds de felter, du ønsker at genbruge, eller genbrug hele blanketten. 1.Dataansvarlig myndighed Navn Haderslev Kommune Adresse Gåskærhade 26 Kommunekode (For kommuner og

Læs mere

Persondataloven. Hvilke oplysninger må registreres? Hvad må oplysningerne bruges til? Hvordan kontrollerer du oplysningerne?

Persondataloven. Hvilke oplysninger må registreres? Hvad må oplysningerne bruges til? Hvordan kontrollerer du oplysningerne? Persondataloven Hvilke oplysninger må registreres? Hvad må oplysningerne bruges til? Hvordan kontrollerer du oplysningerne? Udgiver: Datatilsynet Design: Kontrast design Konsulent: Statens Information

Læs mere

Oversigt over udvalgt lovgivning, bekendtgørelser og vejledninger

Oversigt over udvalgt lovgivning, bekendtgørelser og vejledninger Domstolsstyrelsen Sagsbeh. Katrine V Trebbien Dir.tlf. + 45 99684243 Mail kat@domstolsstyrelsen.dk 2014-4302-0004-1 2. maj 2014 Domstolsstyrelsens årsberetning 2013 persondataloven Indhold: Domstolsstyrelsens

Læs mere

Artikel 29-gruppen vedrørende databeskyttelse

Artikel 29-gruppen vedrørende databeskyttelse Artikel 29-gruppen vedrørende databeskyttelse 00065/2010/DA WP 174 Udtalelse nr. 4/2010 om FEDMA's europæiske adfærdskodeks for brug af personoplysninger i forbindelse med direkte markedsføring vedtaget

Læs mere

Lov om behandling af personoplysninger 1)

Lov om behandling af personoplysninger 1) Lov om behandling af personoplysninger 1) VI MARGRETHE DEN ANDEN, af Guds Nåde Danmarks Dronning, gør vitterligt: Folketinget har vedtaget og Vi ved Vort samtykke stadfæstet følgende lov: Afsnit I Indledende

Læs mere

Anvendelse af billeder, video og digitale medier

Anvendelse af billeder, video og digitale medier Anvendelse af billeder, video og digitale medier Dagtilbud og skoler, Varde Kommune Indhold Fotos og videoer defineres som personoplysninger...3 Er det et situationsbillede eller portrætbillede?...3 Skriftligt

Læs mere

Vedrørende behandling af flypassagerers biometriske oplysninger i form af template af fingeraftryk

Vedrørende behandling af flypassagerers biometriske oplysninger i form af template af fingeraftryk Brevdato: 23. maj 2006 Modtager: Scandinavian Airlines Danmark (SAS) J.nr. 2006-219-0370 Stikord: Fingeraftryk, personoplysninger, saglighed og proportionalitet, alternativ løsning, oplysningspligt, datasikkerhed.

Læs mere

Finansudvalget FIU Alm.del endeligt svar på spørgsmål 158 Offentligt

Finansudvalget FIU Alm.del endeligt svar på spørgsmål 158 Offentligt Finansudvalget 2014-15 FIU Alm.del endeligt svar på spørgsmål 158 Offentligt Folketinget Finansudvalget Christiansborg 1240 København K Dato: 14. januar 2015 Kontor: Forvaltningsretskontoret Sagsbeh: Inge

Læs mere

Big Data i fremtidens persondataret

Big Data i fremtidens persondataret Big Data i fremtidens persondataret Charlotte Bagger Tranberg, persondataspecialist, ph.d. Den 2. oktober 2013 2 Udnyttelse af Big Data i den offentlige sektor Den offentlige sektor har adgang til store

Læs mere

Europaudvalget 2015-16 L 29 endeligt svar på spørgsmål 20 Offentligt

Europaudvalget 2015-16 L 29 endeligt svar på spørgsmål 20 Offentligt Europaudvalget 2015-16 L 29 endeligt svar på spørgsmål 20 Offentligt Folketinget Europaudvalget Christiansborg 1240 København K Projektgruppen vedr. retsforbeholdet Dato: 28. oktober 2015 Kontor: Politikontoret

Læs mere

Overblik over persondataforordningen

Overblik over persondataforordningen Overblik over persondataforordningen November 2016 2 Sanktioner Overtrædelsestype: Indhentning af samtykke ift. børn Behandlinger, som ikke kræver identifikation Data protection by Design/Default Delt

Læs mere

Persondata - og hvad så?

Persondata - og hvad så? Persondata - og hvad så? Oktober 2005 Persondata og hvad så? Persondata og hvad så? Henvendelse om publikationen kan ske til: Personalestyrelsen Frederiksholms Kanal 6 1220 København K Tlf. 33 92 40 49

Læs mere

Betænkning om udveksling af oplysninger inden for den offentlige forvaltning

Betænkning om udveksling af oplysninger inden for den offentlige forvaltning Betænkning om udveksling af oplysninger inden for den offentlige forvaltning Betænkning nr. 1500 København 2008 Betænkning om udveksling af oplysninger inden for den offentlige forvaltning Betænkning nr.

Læs mere

IT- og Telestyrelsen Holsteinsgade 63 2100 København Ø. jahs@itst.dk

IT- og Telestyrelsen Holsteinsgade 63 2100 København Ø. jahs@itst.dk IT- og Telestyrelsen Holsteinsgade 63 2100 København Ø Sendt til: hvs@itst.dk og jahs@itst.dk 17. marts 2011 Vedrørende høring over udkast til bekendtgørelse om krav til information og samtykke ved lagring

Læs mere

spørgsmål vedrørende privatlivets fred

spørgsmål vedrørende privatlivets fred Problemidentificerende spørgsmål vedrørende privatlivets fred Appendiks 4 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Brug af problemidentificerende spørgsmål... 3

Læs mere

Gå-hjem-møde Persondataforordning

Gå-hjem-møde Persondataforordning Gå-hjem-møde Persondataforordning Lars Japp Haslund Advokat (CIPM/CIPP/E) Bech-Bruun Mette Haagensen Advokat, juridisk konsulent Ejendomsforeningen Danmark Tidsplan 15.00 Velkomst 15.10 Persondataforordningen

Læs mere

Direkte markedsføring. Uanmodede henvendelser. Uanmodede henvendelser

Direkte markedsføring. Uanmodede henvendelser. Uanmodede henvendelser Direkte markedsføring Jan Trzaskowski Associate Professor, Ph.D. Copenhagen Business School This presentation is made in OpenOffice.org 1 Uanmodede henvendelser Anmodede henvendelser (samtykke) HNG-sagen

Læs mere

FORSYNINGSTRÆF 2016 PERSONDATARET HVORFOR NU EGENTLIG DET?

FORSYNINGSTRÆF 2016 PERSONDATARET HVORFOR NU EGENTLIG DET? FORSYNINGSTRÆF 2016 - BEHANDLING AF PERSONDATA Line Markert, advokat Egil Husum, advokat 4. og 11. februar 2016 PERSONDATARET HVORFOR NU EGENTLIG DET? side 2 Er persondataretten relevant for forsyningsselskaber?

Læs mere

Statsforvaltningens brev til en borger

Statsforvaltningens brev til en borger Statsforvaltningens brev til en borger 20-07- 2009 Statsforvaltningen Syddanmark har modtaget jeres henvendelse af 10. april 2007 vedrørende Varde Kommunes videregivelse af oplysninger om et projekt, som

Læs mere

Justitsministeriet har ved e-mail af 24. maj 2012 anmodet om Institut for Menneskerettigheders eventuelle bemærkninger til ovennævnte forslag.

Justitsministeriet har ved e-mail af 24. maj 2012 anmodet om Institut for Menneskerettigheders eventuelle bemærkninger til ovennævnte forslag. Justitsministeriet Statsretskontoret jm@jm.dk STRANDGADE 56 DK-1401 KØBENHAVN K TEL. +45 32 69 88 88 FAX +45 32 69 88 00 CENTER@HUMANRIGHTS.DK WWW.MENNESKERET.DK WWW.HUMANRIGHTS.DK DATO 13. juni 2012 J.NR.

Læs mere

Forslag. Lov om ændring af retsplejeloven

Forslag. Lov om ændring af retsplejeloven Lovforslag nr. L 78 Folketinget 2015-16 Fremsat den 9. december 2015 af justitsministeren (Søren Pind) Forslag til Lov om ændring af retsplejeloven (Udveksling af oplysninger om tegn på radikalisering

Læs mere

Statsforvaltningens brev til Odense Kommune

Statsforvaltningens brev til Odense Kommune 2014-212824 Statsforvaltningens brev til Odense Kommune Dato: 0 9-0 6-2015 Henvendelse vedrørende Odense Kommunes afgørelse om afslag på aktindsigt i specifikationer i borgmester Anker Boyes telefonregning

Læs mere

Forslag til Lov om ændring af retsplejeloven (Udveksling af oplysninger om tegn på radikalisering og ekstremisme)

Forslag til Lov om ændring af retsplejeloven (Udveksling af oplysninger om tegn på radikalisering og ekstremisme) Politi- og Strafferetsafdelingen U D K A S T Dato: 30. september 2015 Kontor: Straffuldbyrdelseskontoret Sagsbeh: Michael Schaumburg- Müller Sagsnr.: 2015-1902-0268 Dok.: 1740096 Forslag til Lov om ændring

Læs mere

September Indledning

September Indledning September 2016 Eksempel fra KOMBIT: Vejledning til gennemførelse af indledende overordnet kortlægning af it-løsningers parathed i forhold til efterlevelse af kendte krav i Databeskyttelsesforordningen

Læs mere

Persondataloven. Foto: Ulrik Janzten - Layout: Katrine Dahlerup, FFD - Tryk: Dystan - Oplag: 500

Persondataloven. Foto: Ulrik Janzten - Layout: Katrine Dahlerup, FFD - Tryk: Dystan - Oplag: 500 Persondataloven 1 Persondataloven - er den centrale lov for, hvornår og hvordan persondata må behandles. Loven gælder både for offentlige myndigheder, private virksomheder, foreninger m.v. Frie skoler

Læs mere

KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU)

KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) 30.6.2016 L 173/47 KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) 2016/1055 af 29. juni 2016 om gennemførelsesmæssige tekniske standarder for så vidt angår de tekniske metoder til passende offentliggørelse

Læs mere

Vejledning om anmeldelse i henhold til kapitel 12 i lov om behandling af personoplysninger

Vejledning om anmeldelse i henhold til kapitel 12 i lov om behandling af personoplysninger VEJ nr 125 af 10/07/2000 Vejledning om anmeldelse i henhold til kapitel 12 i lov om behandling af personoplysninger (Til den offentlige forvaltning) 1. Indledning Lov nr. 429 af 31. maj 2000 om behandling

Læs mere

Justitsministeriet Slotsholmsgade 10 1216 København K. Sendt til: jm@jm.dk

Justitsministeriet Slotsholmsgade 10 1216 København K. Sendt til: jm@jm.dk Justitsministeriet Slotsholmsgade 10 1216 København K Sendt til: jm@jm.dk 12. februar 2010 Vedrørende høring over udkast til forslag til Lov om ændring af lov om tv-overvågning og lov om behandling af

Læs mere