Persondata og whistleblowerordninger. Nyhedsbrev

Transkript

1 Persondata og whistleblowerordninger Nyhedsbrev

2 STORMØDE: JUSTITSMINISTERIET OG ERHVERVSSTYRELSEN DISKUTEREDE PERSONDATA- FORORDNINGENS FORTOLKNING MED ERHVERVSLIVET Den 9. februar 2017 afholdt Erhvervsstyrelsen og Justitsministeriet et stormøde for erhvervslivet, som havde til formål at samle op på de tre workshops om persondataforordningen, som Erhvervsstyrelsen og Justitsministeriet havde afholdt det forgangne år. Ligesom på de tre workshops var der stort fremmøde fra de forskellige interessentgrupper, som vil blive berørt af databeskyttelsesforordningen. Kromann Reumert var til stede under mødet, og vi vil her orientere om de væsentligste emner, der blev drøftet. Kontakt Tina Brøgger Sørensen Partner Direkte: Mobil: Daiga Grunte-Sonne Advokat Direkte: Mobil: De udvalgte emner Justitsministeriet og Erhvervsstyrelsen tog udgangspunkt i en række emner, som var blevet drøftet under de afholdte workshops. Emnerne er udvalgt ud fra en vurdering af, hvilke emner det på nuværende tidspunkt er muligt at komme med fortolkningsbidrag til. Justitsministeriet har forelagt de centrale overvejelser og dokumenter for en nedsat ekspertgruppe, som består af medlemmer med både juridisk ekspertise og IT-kendskab, herunder blandt andet Dr. Jur. Peter Blume, Ph.D. Gert Læssøe Mikkelsen, professor Henrik Udsen m.fl. Fortolkningsbidragene er så vidt muligt også afstemt med en række EU-lande, som Danmark sammenligner sig med, herunder de nordiske lande, og EU-Kommissionen. Endvidere er der taget højde for Artikel 29-gruppens seneste vejledninger. De udvalgte emner på mødet var: Databeskyttelsesrådgiveren (DPO, data protection officer) Databeskyttelse gennem design og standardindstillinger (data protection by design og data protection by default) Konsekvensanalyse (data protection impact assessment) Dataansvarlig og databehandler Samtykke DPO Data protection officer HVILKE VIRKSOMHEDER M.V. ER FORPLIGTET TIL AT HAVE EN DATA PROTECTION OFFICER? DPO, som er en ny funktion/aktør, der er blevet introduceret med databeskyttelsesforordningen, har affødt en række spørgsmål fra erhvervslivet. Det oftest stillede spørgsmål er, hvilke virksomheder m.v. der er forpligtet til at have en 2/10

3 DPO. Justitsministeriet svarede hertil først og fremmest, at en sådan pligt kun består i særlige situationer, når der er tale om private virksomheder. Dvs. det almindelige udgangspunkt vil være, at en privat virksomhed ikke skal udpege en DPO. Forpligtelsen er dog gældende, når følgende tre kumulative betingelser er opfyldt: Behandlingen af personoplysninger er virksomhedens kerneaktivitet, Der behandles personoplysninger i stort omfang, og Der enten er tale om en regelmæssig eller systematisk overvågning, eller der behandles følsomme oplysninger. Hvad angår den første betingelse, forklarede Justitsministeriet, at man ved vurderingen af, hvorvidt der er tale om virksomhedens kerneaktivitet, bør tage udgangspunkt i, "om virksomhedens produkt eller tjeneste består i af behandle personoplysninger". Heri ligger formentlig, at virksomheder, som primært beskæftiger sig med f.eks. hosting eller lagring af personoplysninger for andre, herunder udbyder cloudbaserede løsninger, opfylder den første betingelse. Efter Justitsministeriets opfattelse er virksomheder, hvis kerneaktivitet er meget tæt forbundet med behandlingen af personoplysninger, tillige omfattet af betingelsen, da en sådan behandling udgør en uløselig del af kerneaktiviteten. Som eksempel herpå blev nævnt forsikringsselskaber og private hospitaler, hvis kerneaktivitet godt nok ikke er behandling af personoplysninger, men en sådan behandling er så tæt forbundet med selve kerneaktiviteten i disse tilfælde, salg og administration af forsikringer og patientbehandling at den må anses for at indgå i kerneaktiviteten. Derimod blev den almindelige kundekontakt, salg/support samt personaleadministration, som de fleste virksomheder har, nævnt som eksempler på biaktiviteter, der som hovedregel ikke udgør virksomhedens kerneaktivitet. Den anden betingelse vedrører kravet om, at behandlingen sker i stort omfang. I den forbindelse blev der på mødet henvist til Artikel 29-gruppens vejledning om DPO. Ifølge Artikel 29-gruppen skal der ved vurderingen lægges vægt på, at antallet af personer, mængden af data, varigheden af behandlingen og den geografiske spredning af behandlingen. I forhold til den tredje og sidste betingelse blev der lagt vægt på begrebet "overvågning", som ifølge Justitsministeriet skal forstås som "sporing/profilering af personer med henblik på at kortlægge præferencer, adfærd og holdninger." Som eksempler herpå blev nævnt drift af telekommunikationsnet og adfærdsbaseret markedsføring. HVILKE KRAV ER DER TIL DPO'ENS UDDANNELSE, ERFARING OG ROLLE? Herefter blev der besvaret en række generelle spørgsmål om DPO'ens rolle, herunder de uddannelsesmæssige krav. Justitsministeriet forklarede, at det ikke umiddelbart følger af forordningen, at der kræves en specifik uddannelsesbaggrund for at kunne udfylde rollen som DPO, og der er derfor ikke krav om, at den pågældende skal være jurist eller IT-kyndig. Hertil blev der bemærket, at DPO'en dog skal have juridiske kompetencer inden for databeskyttelse og en vis praktisk erfaring. Det påkrævede ekspertiseniveau vil afhænge af den mængde af persondata som behandles, herunder om der er tale om følsomme data. I forhold til rollens uafhængighed blev der nævnt, at DPO'en godt må have andre opgaver, men at disse opgaver ikke må medføre en interessekonflikt, hvorfor det almindeligvis ikke vil være muligt at placere rollen der, hvor det endelige ansvar for en konkret funktion i virksomheden ligger, f.eks. ved en IT-chef eller HR-chef. Endelig blev det nævnt, at DPO'en alene har en rådgivende rolle. Det betyder, at det er 3/10

4 virksomheden, som træffer de endelige beslutninger med hensyn til databeskyttelse, og som har ansvaret for, at forordningen overholdes. DPO'en hæfter ikke personligt for virksomhedens behandling af data. Databeskyttelse gennem design og gennem standardindstillinger Databeskyttelse gennem design og gennem standardindstillinger handler ifølge Justitsministeriet i høj grad om, hvordan virksomheden skal indrette sig med henblik på at have passende tekniske og organisatoriske foranstaltninger på plads for at beskytte persondata. Ifølge Justitsministeriet er der ikke tale om et nyt, selvstændigt sikkerhedskrav i forbindelse med databeskyttelse gennem design. Til gengæld er der tale om en overvejelsesforpligtigelse og en håndteringsforpligtigelse i forhold til nye IT-systemer, nye IT-mæssige funktioner mv. I overvejelsesforpligtigelsen ligger, at virksomheden i forberedelsesfasen overvejer, hvilke foranstaltninger der skal håndteres ved en behandling af personoplysninger for at efterleve databeskyttelsesforordningen, herunder kravet til dataminimering og formålsbegrænsning. I håndteringsforpligtelsen ligger, at virksomheden skal sørge for, at virksomhedens IT-systemer ikke forhindrer en implementering af databeskyttelsesprincipperne i henhold til forordningen. Justitsministeriet bemærkede, at der ikke umiddelbart er tale om, at eksisterende systemer skal re-designes for at efterleve kravet om databeskyttelse gennem design. Særligt i henhold til databeskyttelse gennem standardindstillinger bemærkede Justitsministeriet blandt andet, at virksomheden er forpligtet til at indstille fremtidige systemer således, at disse fremmer dataminimering, og at der alene indsamles den data, som skal bruges til de nærmere bestemte, specifikke formål. Også i denne forbindelse udtalte Justitsministeriet, at der alene er tale om krav til nye systemer, så standardindstillinger i de eksisterende systemer skal som udgangspunkt ikke ændres, medmindre dette rent faktisk er muligt. Herudover blev det bemærket, at systemerne naturligvis skal overholde de generelle sikkerhedskrav i forordningen om passende sikkerhedsforanstaltninger. Konsekvensanalyse Det overordnede spørgsmål i forhold til konsekvensanalysen gik ud på, hvornår virksomheden er forpligtet til at foretage en konsekvensanalyse. Det vil sige, hvad der ligger i kravet om behandlinger med høj risiko. Som en overordnet målestok for, hvornår der skal foretages en konsekvensanalyse, skal der fokuseres på, om der sker en af følgende behandlinger i stort omfang: Systematisk og omfattende vurdering af personlige forhold, der er baseret på behandling af personoplysninger, herunder profilering; Behandling af følsomme oplysninger Systematisk overvågning af et offentligt tilgængeligt område i et stort omfang. Såfremt en virksomhed opfylder en af overstående betingelser, vil virksomheden være forpligtet til at udarbejde en konsekvensanalyse i henhold til databeskyttelsesforordningen. Justitsministeriet bemærkede, at der er sammenfald mellem kravene til konsekvensanalysen og udpegelsen af DPO, så der kan hentes inspiration fra fortolkningen om DPO. Der gælder dermed også det samme udgangspunkt, dvs. at de fleste virksomheder ikke vil være forpligtet til at udarbejde en konsekvensanalyse. I forhold til behandlinger med høj risiko blev det nævnt, at der vil komme yderligere fortolkninger blandt andet via Artikel 29-gruppens kommende vejledninger. Endelig blev det bemærket, at det for flere virksomheder er muligt at lave en fælles konsekvensanalyse. Forudsætningen herfor er dog, at det tilnærmelsesvis er de samme typer systemer og/eller behandlingsaktiviteter, som analysen skal vedrøre. 4/10

5 Dataansvarlig og databehandler På stormødet blev der fokuseret mest på den dataansvarliges rolle og ikke databehandlerens rolle. Særligt blev kravet om, at den dataansvarlige skal kunne påvise, at virksomheden behandler persondata i overensstemmelse med databeskyttelsesforordningen, drøftet. Justitsministeriet nævnte følgende forhold, som falder ind under dette påvisningskrav. For det første skal virksomheden kunne påvise, hvilke data de behandler, herunder hvilke typer af data der er tale om. I naturlig forlængelse heraf kræves det, at virksomheden også kan påvise et lovligt grundlag for behandlingen. Herudover skal virksomheden kunne påvise, hvordan man efterlever de registreredes rettigheder, herunder den nye rettighed om dataportabilitet. En måde hvorpå virksomheden kan efterleve påvisningskravet, er efter Justitsministeriet opfattelse via interne politikker og procedurer, tilslutning til certificeringer og adfærdskodekser, udpegelse af DPO, fortegnelse over aktiviteterne mv. I den forbindelse blev det bemærket, at påvisningskravet ikke som sådant kræver store data flow-undersøgelser. Samtykke I forhold til samtykke var det Justitsministeriets klare opfattelse, at retsstillingen ikke ændrer sig væsentligt med implementering af kravene i databeskyttelsesforordningen. Dog er det vigtigt at notere sig, at den dataansvarlige skal oplyse de registrerede om, at samtykket kan trækkes tilbage til enhver tid. Hvis ikke den registrerede er blevet informeret herom, er samtykket ugyldigt. Hvad vil der ske fremover? Mødet blev afsluttet med information om den fremadrettede proces. Justitsministeriet oplyste, at der til april 2017 vil blive udgivet en publikation om databeskyttelsesforordningen på ca sider. Denne publikation skal danne grundlaget for senere lovforslag, som vil blive fremsat i efteråret I forbindelse med udgivelse af publikationen vil der blive afholdt et stormøde, hvor Kromann Reumert også vil deltage. Hvor kan man læse nærmere om stormødet? Se en mere detaljeret præsentation fra mødet, som netop er offentliggjort på Erhvervsstyrelsens hjemmeside. 5/10

6 ARTIKEL 29-GRUPPEN ER KLAR MED EN HANDLINGSPLAN FOR Artikel 29-gruppen har fremlagt en handlingsplan for det kommende år. Handlingsplanen omhandler i hovedtræk de emner, som Artikel 29-gruppen vil prioritere for Artikel 29-gruppen hvis primære formål er at sikre en tilstrækkelig beskyttelse af personoplysninger vedtog den 3. januar 2017 en handlingsplan, hvor blandt andet følgende fokusområder fremgik: Kontakt Tina Brøgger Sørensen Partner Direkte: Mobil: [email protected] Daiga Grunte-Sonne Advokat Direkte: Mobil: [email protected] For det første ønsker Artikel 29-gruppen at følge op på de tre vejledninger til databeskyttelsesforordningen, som blev udgivet i december Der var tale om vejledninger angående retten til dataportabilitet, databeskyttelsesrådgivere (DPO'er) og den ledende tilsynsmyndighed. Læs nærmere om vejledningerne For det andet vil fokus være på udarbejdelsen af tre nye vejledninger, som vil omhandle de områder i databeskyttelsesforordningen, der relaterer sig til samtykke, profilering og kravet om gennemsigtighed. Ifølge handlingsplanen vil de to første vejledninger udkomme i første halvår af 2017, mens den sidstnævnte vejledning vil udkomme i sidste halvår af I 2017 vil Artikel 29-gruppen tillige prioritere løbende at få opdateret listen med de lande uden for EU, som anses for at yde et tilstrækkeligt beskyttelsesniveau for overførsel af persondata de såkaldte sikre tredjelande. Desuden afholder Artikel 29-gruppen den 5. og 6. april 2017 et såkaldt "Fablab", hvor de relevante interessenter kan komme med synspunkter og input til, hvad der ellers skal prioriteres i 2017 af Artikel 29-gruppen i forhold til fortolkningen af databeskyttelsesforordningen. Se den samlede handlingsplan 6/10

7 DET KAN SNART VÆRE SLUT MED BESKEDER OM BRUG AF COOKIES EU-Kommissionen er klar med en ny E-privacy-forordning, som bland andet foreslår, at der ikke fremover skal gælde krav om brugersamtykke, når der indsamles ikke-personhenførbare data ved besøg på en hjemmeside. Hvad er egentlig en cookie? En "cookie" er en lille tekstfil, som mange hjemmesider benytter til at lagre oplysninger om brugerne. Ofte lagres data hos brugeren og udsendes herefter til hjemmesiden, når brugeren besøger den igen. Cookies kan have mange forskellige funktioner. Nogle cookies registrerer for eksempel, hvilken vare brugeren har tilføjet til den elektroniske indkøbskurv på en webshop, mens andre registrerer, hvilke data brugeren har på sin telefon, tablet eller computer, og sørger herefter for, at de reklamer, som brugeren modtager, stemmer overens med brugerens adfærd på internettet. Kontakt Tina Brøgger Sørensen Partner Direkte: Mobil: Daiga Grunte-Sonne Advokat Direkte: Mobil: Der sondres desuden mellem første- og tredjepartcookies. Førsteparts-cookie er en cookie, som aktøren bag den pågældende hjemmeside har udviklet og implementeret, mens en tredjeparts-cookie er implementeret af en tredjepart på en hjemmeside, som ikke tilhører denne tredjepart EU-Kommissionens nye forslag EU-Kommissionen vil med et nyt forslag om en E-privacy-forordning ændre de gældende cookie-regler. Disse kræver i dag som altovervejende hovedregel brugerens samtykke. Dette gælder, uanset hvilken type cookies der anvendes på en given hjemmeside. Ændringerne vil blandt andet indebære, at der med stor sandsynlighed ikke længere skal indhentes samtykke til at registrere data angående "web audience measuring", idet dataene indsamlet til dette formål oftest er generel eller overordnet data, om for eksempel hvor mange gange brugerne har besøgt hjemmesiden, hvilken browser de anvender ved deres besøg mv. Sådanne data behøver ikke at være personhenførbare for at opfylde formålet. Forslaget til de nye regler om cookies indeholder desuden et nyt element. Det fremgår nemlig af forslaget, at softwareudbyderne tillige pålægges at implementere en valgmulighed, hvor brugeren kan slå tredjeparts-cookies fra. At softwareudbyderen bliver underlagt et sådant krav, betyder, at de aktører, der udvikler browserprogrammer (såsom Internet Explorer, Safari, Google Chrome osv.), skal sørge for at implementere en mulighed for, at brugeren med et enkelt klik kan undgå brug af tredjeparts-cookies. De nye regler om cookies følger således samme tendens som databeskyttelsesforordningen, hvor andre aktører end selve ejeren af hjemmesiden i højere grad inddrages for at sikre løsninger, der har databeskyttelse for øje, og hvor de enkelte brugere har mulighed for at styre adgangen til deres data. 7/10

8 HØJESTERET: KOMMUNES VIDEREGIVELSE AF HELBREDS- OPLYSNINGER TIL EN MEDARBEJDERS ARBEJDSGIVER VAR I OVERENSSTEMMELSE MED PERSONDATALOVEN Kontakt Tina Brøgger Sørensen Partner Direkte: Mobil: [email protected] Daiga Grunte-Sonne Advokat Direkte: Mobil: [email protected] I en nylig dom har Højesteret fastslået, at en kommunes videregivelse af helbredsoplysninger som led i en partshøring var berettiget, blandt andet fordi de personer, som modtog oplysningerne, var underlagt tavshedspligt. Sagen kort En medarbejder blev afskediget efter 13 års ansættelse i en selvejende institution (arbejdsgiveren). Et par dage efter opsigelsen af medarbejderen blev medarbejderen sygemeldt på ubestemt tid. Der blev i den forbindelse udarbejdet en statusattest, hvoraf det fremgik, at medarbejderen var i en depressiv tilstand, men at medarbejderen ikke ville tage imod antidepressiv behandling. Kommunen påtænkte at indstille refusion af sygedagpenge til arbejdsgiveren, da kommunen blev opmærksom på, at medarbejderen ikke havde taget imod tilbuddet om antidepressiv behandling. Kommunen foretog derfor partshøring af arbejdsgiveren. I høringsbrevet vedlagde kommunen kopi af medarbejderens statusattest med en detaljeret beskrivelse af medarbejderens helbredsmæssige status og lægens overvejelser herom. Medarbejderen lagde herefter sag an mod kommunen og gjorde gældende, at videregivelsen af hendes helbredsoplysninger var sket i strid med persondataloven og forvaltningsloven. Medarbejderen gjorde krav på en godtgørelse for tort efter erstatningsansvarsloven. Højesterets dom Højesteret udtalte, at oplysningerne i statusattesten var til ugunst for arbejdsgiveren, der som arbejdsgiver modtog dagpengerefusion under medarbejderens sygdom, og at oplysningerne i attesten måtte anses for at være af væsentlig betydning for den påtænkte afgørelse. Herefter konkluderede Højesteret, at kommunen havde haft pligt til at foretage partshøring af arbejdsgiveren efter forvaltningsloven, inden kommunen traf beslutningen om, hvorvidt refusionen skulle indstilles. Spørgsmålet var herefter, om kommunen skulle have begrænset arbejdsgiverens ret til partshøring under hensyn til medarbejderens private interesse i, at oplysningerne ikke blev videregivet. Højesteret udtalte, at der ved besvarelsen af dette spørgsmål skulle lægges vægt på, at der var tale om følsomme oplysninger om medarbejderens psykiske helbredstilstand, men at beskrivelsen i attesten måtte antages at svare til, hvad der er forholdsvist 8/10

9 almindeligt for en person, der er sygemeldt som følge af en krisetilstand efter en uansøgt afskedigelse. Desuden tillagde Højesteret det betydning, at den påtænkte afgørelse var bebyrdende for arbejdsgiveren, at de personer hos arbejdsgiveren, som modtog oplysningerne, var underlagt tavshedspligt, og at oplysningerne havde væsentlig betydning for arbejdsgiverens mulighed for at kommentere på kommunens beslutning. På baggrund af ovenstående fandt Højesteret, at kommunen ved at videregive statusattesten i sin helhed ikke havde tilsidesat sin tavshedspligt, og at videregivelsen var nødvendig for at fastslå, om arbejdsgiveren havde krav på dagpengerefusion under medarbejderens fortsatte sygdom. Derfor var videregivelsen i overensstemmelse med persondatalovens 7, stk. 2. Højesteret stadfæstede dermed landsrettens dom. Kromann Reumerts bemærkninger Persondatalovens regler yder særlig beskyttelse i forhold til følsomme oplysninger, herunder helbredsoplysninger, og mulighederne for videregivelse af sådanne oplysninger er yderst begrænsede. Dommen viser dog, at der kan være sådanne særlige, konkrete omstændigheder, der gør det lovligt at videregive følsomme oplysninger om for eksempel helbred. 9/10

10 LÆNGE VENTET RETSSAG OM EU-STANDARDKONTRAKTER ER NU BEGYNDT Den 7. februar 2017 begyndte sagen om gyldigheden af EU-Kommissionens standardkontrakter til brug for overførsel af persondata til usikre tredjelande ved High Court i Irland. Sagens udfald kan få stor betydning for samarbejdet mellem EU og USA. Den irske databeskyttelseskommissær Helen Nixon ønsker på vegne af de irske databeskyttelsesmyndigheder at afklare, om EU-Kommissionens standardkontrakter er i overensstemmelse med EU-retten. For eksempel er Facebook begyndt at anvende disse til at overføre personoplysninger til usikre tredjelande i dette tilfælde USA (efter Safe Harbor-dommen). Kontakt Tina Brøgger Sørensen Partner Direkte: Mobil: [email protected] Daiga Grunte-Sonne Advokat Direkte: Mobil: [email protected] Helen Nixon har flere gange udtalt, at hun prøver at få sagen indbragt for EU-Domstolen, idet EU-Domstolen må være nærmest til at afgøre dette spørgsmål. Sagens omstændigheder og indhold lægger sig meget op ad den sag, som privacyaktivisten Max Schrems anlagde om Safe Harbor-ordningens gyldighed. Sagen har generelt tiltrukket stor opmærksomhed, idet sagens udfald kan få stor betydning for samarbejdet mellem EU og USA. Sagen indledes med en række høringer. Den samlede sag forventes at vare i tre uger. Kromann Reumert følger naturligvis sagen og vil løbende orientere om sagens videre behandling og ikke mindst sagens udfald. 10/10