En introduktion til de kommende, nye regler om beskyttelse af personoplysninger

Save this PDF as:
 WORD  PNG  TXT  JPG

Størrelse: px
Starte visningen fra side:

Download "En introduktion til de kommende, nye regler om beskyttelse af personoplysninger"

Transkript

1 En introduktion til de kommende, nye regler om beskyttelse af personoplysninger 1/20 Oktober 2017

2 Indhold 1.0 Forord Hvornår gælder forordningen? Hvad er en personoplysning? Følsomme personoplysninger Almindelige personoplysninger Oplysninger om strafbare forhold Oplysninger om CPR-nummer Klageadgang Hvad er behandling af personoplysninger? Hvornår må man behandle personoplysninger? Lovlighed, rimelighed og gennemsigtighed Formålsbegrænsning Dataminimering Rigtighed Opbevaringsbegrænsning Integritet og fortrolighed De registreredes rettigheder Ret til at få besked om, at der behandles personoplysninger (oplysningspligt) Ret til at se oplysninger (indsigtsret) Ret til at få oplysninger rettet eller slettet (retten til at blive glemt) Ret til at transmittere oplysninger (dataportabilitet) Begrænsninger i rettigheder Hvad med behandlingssikkerheden? Andre særlige nyskabelser? Fortegnelser over behandlingsaktiviteter Konsekvensanalyser Databeskyttelsesrådgiver Adfærdskodekser, certificering mv Overførsel af personoplysninger til lande uden for EU Nye tider for Datatilsynet 19 2/20

3 1.0 Forord Formålet med denne vejledning er at give en første introduktion til de nye databeskyttelsesregler, som fra den 25. maj 2018 afløser persondataloven, som har været gældende herhjemme siden 1. juli De nye regler findes først og fremmest i en forordning, som blev endelig vedtaget i april 2016, og som officielt hedder: Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger mv. (databeskyttelsesforordningen). Denne vejledning beskriver reglerne i hovedtræk. Hvis du vil læse den fuldstændige forordningstekst, kan du finde link til den på Datatilsynets hjemmeside, består af 11 kapitler: Kapitel 1 (artikel 1-4) i forordningen vedrører forordningens formål, anvendelsesområde og definitioner. Kapitel 2 (artikel 5-11) indeholder en bestemmelse med en række grundlæggende principper, som altid skal iagttages, når personoplysninger behandles, ligesom det fastslår under, hvilke betingelser behandling af personoplysninger må finde sted. Kapitel 3 (artikel 12-23) omhandler de registreredes rettigheder. Kapitel 4 (artikel 24-43) indeholder bl.a. bestemmelser om den dataansvarliges og databehandlerens generelle forpligtelser og regler om, at der skal være passende sikkerhedsforanstaltninger bl.a. mod, at uvedkommende får adgang til personoplysninger. Kapitel 5 (artikel 44-50) vedrører overførsel af personoplysninger til lande mv. uden for EU. Kapitel 6 og 7 omhandler de uafhængige tilsynsmyndigheder og deres indbyrdes samarbejde. Kapitel 8 indeholder regler om retsmidler, ansvar og sanktioner. Kapitel 9 indeholder bestemmelser om specifikke behandlingssituationer. Kapitel 10 (artikel 92-93) tager stilling til spørgsmålet om gennemførelsesbeføjelser og udvalgsprocedure. Kapitel 11 (artikel 94-99) indeholder en række afsluttende bestemmelser. Mange af databeskyttelsesforordningens begreber, principper og regler er kendt fra den nuværende persondatalov. Forordningen indeholder imidlertid også en række nyskabelser, der har til formål at styrke beskyttelsen af personoplysninger. Den 24. maj 2017 offentliggjorde Justitsministeriet betænkning nr om databeskyttelsesforordningen og de retlige rammer for dansk lovgivning. Betænkningen er udformet i samarbejde med samtlige ministerier, Datatilsynet, Digitaliseringsstyrelsen og Erhvervsstyrelsen. Betænkningen giver svar på en lang række spørgsmål og danner samtidig grundlag for det videre arbejde med lovforslag og vejledninger. Der vil således i den kommende tid blive udsendt en række vejledninger opdelt i temaer - om forståelsen af forordningen. 3/20

4 Betænkningen, der falder i to dele og består af tre bind, kan rekvireres hos Schultz Justitsministeriet har på baggrund af betænkningen endvidere den 7. juli 2017 sendt et lovforslag til en ny persondatalov i høring. Lovforslaget forventes fremsat i Folketinget til efteråret. Denne vejledning vil blive fulgt op med en anden vejledning i løbet af foråret 2018, når ovennævnte lovforslag er endelig vedtaget. Hvis du ønsker yderligere oplysninger om reglerne i databeskyttelsesforordningen, er du velkommen til at kontakte Datatilsynet. 4/20

5 2.0 Hvornår gælder forordningen? gælder for behandling af oplysninger om personer, dvs. fysiske personer, som foretages af offentlige myndigheder og af private virksomheder, foreninger, mv. Begrebet fysisk person omfatter ikke kun et menneskeligt individ, men også enkeltmandsvirksomheder. Dette skyldes, at det i praksis ikke er muligt at skelne mellem oplysninger om ejeren som individ og oplysninger om virksomheden. Oplysninger om andre typer af virksomheder, f.eks. et A/S eller et ApS, er til gengæld ikke beskyttet af databeskyttelsesforordningen. Det samme gælder oplysninger om myndigheder. Forordningen finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk behandling, og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register. Det er nemlig, når personoplysninger bruges på en måde, som gør dem let og hurtigt søgbare, at interessen for at beskytte dem aktualiseres. Behandling af personoplysninger med henblik på aktiviteter, der falder uden for EU-retten mv., som f.eks. statens sikkerhed, er ikke omfattet af forordningen. Det samme gør sig gældende i forhold til myndigheders behandling af personoplysninger inden for det strafferetlige område. I sidstnævnte tilfælde finder Europa-Parlamentets og Rådets direktiv (EU) 2016/680 (retshåndhævelses-direktivet) anvendelse. Direktivet er gennemført i dansk ret ved lov nr. 410 af 27. april Privatpersoners behandling af personoplysninger er i mange tilfælde også helt undtaget fra forordningen. Forordningen gælder således ikke for behandling af personoplysninger, som foretages af en fysisk person som led i rent personlige eller familiemæssige aktiviteter. Det vil sige, at de ikke har forbindelse med en erhvervsmæssig eller kommerciel aktivitet. Sådanne aktiviteter kan omfatte korrespondance og føring af en adressefortegnelse og i et vist omfang også sociale netværksaktiviteter og onlineaktiviteter. I Danmark gælder databeskyttelsesforordningen som hovedregel, hvis den dataansvarlige myndighed eller virksomhed m.v. er etableret i Danmark, og behandlingen af personoplysningerne foregår inden for EU s område, eller hvis der foretages behandling af oplysninger om personer, der befinder sig i Danmark, hvis behandlingen vedrører udbud af varer eller tjenester til personer, der befinder sig i Danmark, eller der foretages overvågning af personers adfærd, hvis denne adfærd finder sted i Danmark. 5/20

6 I langt de fleste tilfælde vil en behandling af personoplysninger, som foregår i Danmark, være omfattet af den danske lovgivning, dvs. forordningen og eventuelle relevante danske særregler. Men der kan være situationer, hvor den dataansvarlige er etableret i et andet EU-land. I så fald vil det være lovgivningen i dette land, der gælder. Det betyder, at f.eks. Facebooks aktiviteter er reguleret af irsk lovgivning, fordi Facebook har sit europæiske domicil i Irland. Hvis sådanne forhold giver anledning til tvivl, kan Datatilsynet hjælpe. Bemærk, at de andre EU-lande har gennemført eller er ved at gennemføre lignende supplerende lovgivning som i Danmark som følge af de mange steder i forordningen, hvor der er åbnet op for, at dette er en mulighed. Dataansvarlig Typisk en virksomhed, offentlige myndighed eller andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger. Databehandler Typisk en virksomhed, offentlig myndighed eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne og efter instruks fra den dataansvarlige. 6/20

7 3.0 Hvad er en personoplysning? Personoplysninger er enhver form for information, der kan henføres til bestemte personer, også selv om dette forudsætter kendskab til et personnummer, registreringsnummer eller lignende. Også oplysninger i form af f.eks. et billede eller et fingeraftryk er personoplysninger. Selv om oplysninger som et navn eller en adresse er erstattet af en kode, er det stadig en personoplysning, hvis koden kan føres tilbage til den oprindelige personoplysning. F.eks. er oplysninger, der er krypteret, fortsat personoplysninger, så længe der er nogen, der kan gøre oplysningerne læsbare og identificere de personer, det drejer sig om. Forordningen sondrer mellem følsomme og almindelige personoplysninger. Race, etnisk oprindelse, politisk, religiøs el. filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, genetiske data, biometriske data mhp. entydig identifikation, helbredsoplysninger, seksuelle forhold eller orientering Følsomme personoplysninger Straffedomme og lovovertrædelser Væsentlige sociale problemer, andre rent private forhold, økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold, bolig, bil, eksamen, ansøgning, CV, ansættelsesdato, stilling, arbejdsområde, arbejdstelefon, navn, adresse, fødselsdato, Almindelige personoplysninger Figur 1: En anden måde at se de forskellige kategorier af personoplysninger på. Jo højere oppe i trekanten oplysningerne er, desto strengere betingelser for at behandle dem. 3.1 Følsomme personoplysninger Oplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. Det er kun de oplysninger, der er nævnt her, der anses for følsomme oplysninger i forordningen. 7/20

8 3.2 Almindelige personoplysninger De personoplysninger, der ikke falder ind under kategorien følsomme personoplysninger, kan kaldes almindelige personoplysninger. Almindelige personoplysninger kan f.eks. være identifikationsoplysninger som f.eks. navn og adresse, oplysninger om økonomiske forhold, kundeforhold eller andre lignende ikke-følsomme oplysninger. 3.3 Oplysninger om strafbare forhold Oplysninger om strafbare forhold kan være en oplysning om, at en person har begået en bestemt lovovertrædelse, men det kan også f.eks. være en oplysning om, at en person har adresse i et fængsel. Med andre ord er der tale om en oplysning om strafbare forhold, hvis det ud fra oplysningen kan udledes, at en person har begået noget strafbart. Regler om behandling af oplysninger om strafbare forhold fremgår ikke af forordningen, men vil blive fastsat i de enkelte lande. 3.4 Oplysninger om CPR-nummer Regler om behandling af nationalt identifikationsnummer (i Danmark CPR-nummer) fremgår ikke af forordningen. Forordningen giver de enkelte lande mulighed for selv at fastsætte regler herom. 3.5 Klageadgang Hvis man er utilfreds med den måde, ens personlige oplysninger er blevet behandlet på, kan man klage til Datatilsynet, som derefter undersøger sagen og træffer en afgørelse. 8/20

9 4.0 Hvad er behandling af personoplysninger? Begrebet behandling omfatter enhver form for håndtering af personoplysninger. Det er først og fremmest elektronisk behandling af oplysninger, der er omfattet af reglerne. Det kan f.eks. være indsamling, registrering, systematisering, opbevaring, søgning, brug, videregivelse eller sletning af oplysninger. Det betyder bl.a., at en virksomhed, der stiller en server til rådighed, som oplysningerne opbevares på, også foretager en behandling af oplysningerne ved at opbevare dem. Behandling kan også være offentliggørelse af oplysninger på en hjemmeside eller registrering af oplysninger i et elektronisk sags- og dokumenthåndteringssystem. Forordningen indeholder 26 definitioner af en række af forordningens centrale begreber. Visse af begreberne er nyskabelser; andre enten svarer til eller er ændrede i forhold til den indholdsmæssige betydning, de har i dag. De to helt centrale begreber fra forordningen, som er gennemgået ovenfor ( personoplysning og behandling ), hører til i gruppen af begreber, hvor forordningens definitioner i vidt omfang svarer til, hvad der er gældende ret i dag. Det samme gør sig gældende med begreberne dataansvarlig og databehandler. 9/20

10 5.0 Hvornår må man behandle personoplysninger? Reglerne for, under hvilke betingelser offentlige myndigheder og private virksomheder, foreninger m.v. må behandle personoplysninger, er i vidt omfang skønsmæssige. Det vil derfor ofte afhænge af en konkret vurdering i den enkelte situation, om betingelserne for at behandle personoplysninger er opfyldt. Er man i tvivl, kan man søge råd hos Datatilsynet. Når en offentlig myndighed eller en privat virksomhed m.v. behandler personoplysninger, er der nogle generelle og grundlæggende principper, som altid skal være opfyldt. Reglerne giver ikke i sig selv nogen ret til at behandle personoplysninger, men hvis en behandling kan finde sted på grundlag af en af de øvrige regler i loven, skal de grundlæggende principper altid være opfyldt. De grundlæggende principper er: 5.1 Lovlighed, rimelighed og gennemsigtighed Den dataansvarlige skal overholde reglerne for behandling af oplysninger og skal give let tilgængelig information om behandlingen af oplysninger. Det indebærer bl.a., at den person, der behandles oplysninger om, som udgangspunkt skal have oplyst, hvem der er ansvarlig for behandlingen af oplysninger, og hvad der er formålet med behandlingen. 5.2 Formålsbegrænsning Når der indsamles oplysninger, skal den dataansvarlige gøre sig klart, hvilke formål oplysningerne indsamles til, og det skal være saglige formål. Man må ikke indsamle oplysninger med den begrundelse, at det måske senere kan vise sig nyttigt at være i besiddelse af oplysningerne. Det er i første omgang den virksomhed eller myndighed mv., der indsamler oplysninger, som skal vurdere, om en bestemt indsamling af oplysninger er saglig. Det kan bl.a. bedømmes ud fra, om indsamlingen sker i forbindelse med løsningen af en opgave, som det er naturligt for virksomheden eller myndigheden at løse. 5.3 Dataminimering Behandlingen af personoplysninger skal begrænses til det, der er nødvendigt for at opfylde formålet. 10/20

11 5.4 Rigtighed Oplysningerne skal være rigtige og ajourførte, og hvis oplysningerne viser sig at være urigtige, skal de som udgangspunkt slettes eller berigtiges. 5.5 Opbevaringsbegrænsning Personoplysninger skal slettes eller gøres anonyme, når det ikke længere er nødvendigt for den dataansvarlige at have oplysningerne. Det er i første omgang op til den enkelte dataansvarlige at vurdere, hvor længe det er nødvendigt at opbevare oplysningerne ud fra det formål, som oplysningerne oprindelig blev indsamlet til. 5.6 Integritet og fortrolighed Oplysninger skal beskyttes mod uautoriseret eller ulovlig behandling, ligesom det skal sikres, at oplysninger ikke går tabt eller bliver beskadiget. Forordningen indeholder en række regler om, hvornår man må indsamle og registrere personoplysninger, videregive dem osv. Også andre regelsæt end forordningen kan indeholde regler om, at en behandling af personoplysninger kan eller skal finde sted. Hvilke regler man skal følge i den enkelte situation, afhænger af oplysningernes karakter og formålet med databehandlingen. Samtykke er ofte anvendt som grundlag for at kunne behandle personoplysninger, og andre eksempler på lovligt behandlingsgrundlag kan være, at det er nødvendigt for at opfylde en aftale, f.eks. for at ekspedere en ordre, eller fordi det er en del af den offentlige myndighedsudøvelse, f.eks. i forbindelse med skatteansættelse. Samtykke I mange tilfælde vil man kunne give samtykke til behandling af personoplysninger, uanset hvilke oplysninger det drejer sig om. En anmodning om samtykke skal være let tilgængelig og forståelig og være i et klart og enkelt sprog. Der behøver ikke at være tale om et skriftligt samtykke, men den dataansvarlige skal kunne bevise, at der er givet samtykke. Et samtykke kan til enhver tid trækkes tilbage. Herefter må den dataansvarlige ikke længere behandle oplysninger på grundlag af samtykket, men i nogle tilfælde kan der være et andet behandlingsgrundlag, f.eks. myndighedsudøvelse. Inden man giver samtykke, skal man have oplysning om, at samtykket kan trækkes tilbage. Det skal være lige så let at trække samtykket tilbage som at give det. Ved udbud af informationssamfundstjenester til børn gælder der særlige regler om samtykke. 11/20

12 Det er vigtigt at være opmærksom på, at begrebet behandling dækker over en række forskellige måder at håndtere personoplysninger på. Har man ret til at foretage én bestemt form for databehandling f.eks. indsamling af oplysninger, medfører det ikke automatisk, at man også har ret til at foretage andre former for behandling f.eks. videregivelse af de samme oplysninger. Normalt giver det ikke anledning til tvivl, at når en offentlig myndighed eller privat virksomhed må indsamle bestemte oplysninger, så må den også systematisere, registrere, bruge og slette dem. Men det er f.eks. ikke uden videre givet, at oplysningerne også må videregives til andre. Dette skal vurderes særskilt på baggrund af reglerne om behandling. 12/20

13 6.0 De registreredes rettigheder indeholder i kapitel 3 regler, som giver den enkelte registrerede en række rettigheder over for de myndigheder, virksomheder, foreninger m.v., som behandler oplysninger om den pågældende. Reglerne har til formål at styrke den enkelte persons retsstilling, bl.a. ved at skabe åbenhed omkring behandlingen af oplysninger og ved at give registrerede personer adgang til at gøre indsigelse over for nærmere bestemte former for behandling af oplysninger De vigtigste rettigheder er: Retten til at modtage oplysning om en behandling af sine personoplysninger (oplysningspligt) Retten til at få indsigt i sine personoplysninger (indsigtsret) Retten til at få urigtige personoplysninger berigtiget (retten til berigtigelse) Retten til at få sine personoplysninger slettet (retten til at blive glemt) Retten til at gøre indsigelse mod at personoplysninger anvendes til direkte markedsføring Retten til at gøre indsigelse mod automatiske individuelle afgørelser, herunder profilering Retten til at flytte sine personoplysninger (dataportabilitet) For alle rettighederne gælder, at når en myndighed eller virksomhed mv. opfylder dem, skal det ske i en kortfattet, letforståelig og lettilgængelig form og i et klart og enkelt sprog. Det gælder særligt, hvis oplysningerne er specifikt rettet mod et barn. Hvis en person henvender sig til den dataansvarlige og f.eks. beder om indsigt, berigtigelse, sletning, mv. af oplysninger, skal den pågældende hurtigst muligt og normalt senest efter en måned have besked om, hvad der vil blive gjort som følge af henvendelsen. Om nogle af rettighederne kan særligt fremhæves følgende: 6.1 Ret til at få besked om, at der behandles personoplysninger (oplysningspligt) Den enkelte registrerede skal som udgangspunkt have besked om, at der behandles oplysninger om den pågældende. Man skal bl.a. have besked om, hvem der er dataansvarlig, om formålet med behandlingen, om eventuelle modtagere af oplysningerne, mv. 6.2 Ret til at se oplysninger (indsigtsret) Den registrerede kan bede om at få at vide, hvilke oplysninger om den pågældende selv, som en myndighed eller virksomhed mv. behandler. Hvis den registrerede beder om det, skal der også gives en udskrift eller kopi af oplysningerne. 13/20

14 6.3 Ret til at få oplysninger rettet eller slettet (retten til at blive glemt) Hvis der behandles forkerte oplysninger om en person, kan den pågældende bede om at få oplysningerne rettet. Desuden har man i visse tilfælde ret til at få personoplysninger slettet. Det kan f.eks. være, hvis oplysningerne ikke længere er nødvendige til at opfylde de formål, hvortil de blev indsamlet, hvis et samtykke, som er nødvendigt for behandlingen, trækkes tilbage eller hvis behandlingen er ulovlig. 6.4 Ret til at transmittere oplysninger (dataportabilitet) Den registrerede har ret til at modtage personoplysninger om sig selv i et struktureret, almindeligt anvendt og maskinlæsbart format og har ret til at transmittere oplysningerne til en anden myndighed eller virksomhed. Den registrerede kan også bede om at få oplysningerne sendt direkte fra den dataansvarlige til en anden myndighed eller virksomhed. 6.5 Begrænsninger i rettigheder I særlige situationer gælder de almindelige rettigheder ikke. Det kan f.eks. skyldes hensyn til den offentlige sikkerhed, hensyn til efterforskning eller tilsyn, eller forretningshemmeligheder og andre hensyn til private interesser. Endvidere er de enkelte rettigheder i visse tilfælde begrænset. Som eksempler kan nævnes, at oplysningspligten under visse omstændigheder kan begrænses af ressourcemæssige hensyn, at retten til dataportabilitet ikke gælder behandling, der er nødvendig i forbindelse med offentlig myndighedsudøvelse, og at retten til sletning bl.a. er begrænset i forhold til offentlige myndigheders behandling af personoplysninger. For nærmere oplysninger om de registreredes rettigheder henvises til Datatilsynets hjemmeside og den vejledning om emnet, der vil blive udarbejdet i begyndelsen af /20

15 7.0 Hvad med behandlingssikkerheden? For at opretholde sikkerheden og hindre behandling i strid med reglerne om beskyttelse af personoplysninger, bør den dataansvarlige vurdere de risici, som en behandling indebærer, og gennemføre foranstaltninger, der kan begrænse disse risici, f.eks. kryptering. Behandlingssikkerhed Brug og håndtering af personoplysninger skal foregå betryggende og med et passende niveau af sikkerhed og privatlivsbeskyttelse. Sikkerhedsniveauet skal afspejle den konkrete risiko for, at oplysningerne stjæles, mistes, skades, eller behandles ulovligt. Hvis risikoen må antages at være stor, må behandlingen af personoplysninger ikke påbegyndes, før der er gennemført en konsekvensanalyse vedrørende databeskyttelse og eventuelt en høring af Datatilsynet. Når it-løsninger designes og udvikles, skal databeskyttelse tænkes ind fra starten, og standardindstillinger skal sikre, at der kun behandles de personoplysninger, som er nødvendige i forhold til formålet med behandlingen. Hvis det går galt, og man som dataansvarlig bliver bekendt med et brud på persondatasikkerheden, skal man uden unødig forsinkelse give besked til Datatilsynet og i visse tilfælde også til de personer, hvis oplysninger er berørt af sikkerhedsbruddet. Databehandlere, som bliver bekendt med et brud på persondatasikkerheden, skal uden unødig forsinkelse underrette den dataansvarlige. For nærmere oplysninger om reglerne om persondatasikkerhed, databeskyttelse gennem design og standardindstillinger, konsekvensanalyser mv. henvises til Datatilsynets hjemmeside og de vej-ledninger, der vil blive udarbejdet om disse emner. Ved tvivl kan man endvidere altid rette henvendelse til Datatilsynet. 15/20

16 8.0 Andre særlige nyskabelser? 8.1 Fortegnelser over behandlingsaktiviteter Den pligt, der er efter persondataloven i dag til i visse situationer at foretage anmeldelse til Data-tilsynet, forsvinder med databeskyttelsesforordningen. Der lægges i stedet op til anden ordning, som indebærer, at den dataansvarlige og databehandleren i visse tilfælde skal føre interne fortegnelser over deres behandling af personoplysninger. Dette er i tråd med forordningens risikobaserede tilgang og fokus på ansvarlighed ( accountability ). I Justitsministeriets betænkning nr af 24. maj 2017 om databeskyttelsesforordningen findes på side 461 et eksempel på en fortegnelse hos en dataansvarlig. For nærmere oplysninger om, hvem der skal udarbejde en fortegnelse og indholdet af en sådan henvises endvidere til Datatilsynets hjemmeside og den vejledning, der vil blive udarbejdet. 8.2 Konsekvensanalyser Virksomheder skal foretage en konsekvensanalyse forud for databehandlinger, som sandsynligvis vil indebære en høj risiko. Formålet med konsekvensanalysen er navnlig at vurdere risikoens oprindelse, karakter, særegenhed og alvor. Det vil bl.a. være relevant at foretage en konsekvensanalyse i tilfælde, hvor nye teknologier anvendes, eller hvor der behandles meget store mængder følsomme personoplysninger. Analysen skal mindst omfatte: systematisk beskrivelse af de planlagte behandlingsaktiviteter og formålene med behandlingen, en vurdering af, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene, en vurdering af de risici behandlingen indebærer for de personer, der behandles oplysninger om, garantier, sikkerhedsforanstaltninger og mekanismer, der skal sikre beskyttelse af personoplysninger og påvise overholdelse af databeskyttelsesforordningen. For nærmere oplysninger om reglerne om udarbejdelse af en konsekvensanalyse mv. henvises til Datatilsynets hjemmeside og den vejledning, der vil blive udarbejdet herom. 8.3 Databeskyttelsesrådgiver Offentlige myndigheder og visse private virksomheder skal udpege en såkaldt databeskyttelsesrådgiver, hvad enten de er dataansvarlige eller databehandlere. I de fleste tilfælde skal der i den private sektor ikke udpeges en databeskyttelsesrådgiver. Det er altså kun visse private virk- 16/20

17 somheder, der skal udpege en databeskyttelsesrådgiver. Det vil f.eks. være tilfældet for privathospitaler, større forsikringsselskaber, teleselskaber og marketingsvirksomheder. For nærmere oplysninger om reglerne om udpegning af en databeskyttelsesrådgiver, hvilke opgaver mv., han/hun skal udføre mv. henvises til Datatilsynets hjemmeside og vejledningen om databeskyttelsesrådgivere. 8.4 Adfærdskodekser, certificering mv. Med forordningen bliver reglerne om adfærdskodekser mere detaljerede og begrænser sig i modsætningen til persondataloven ikke nødvendigvis til private dataansvarlige. Da kodekser nævnes i flere af forordningens bestemmelser om behandlingssikkerhed og den potentielt positive effekt det kan have på administrative bøder, har kodekser potentiale til at få stor betydning fremover. For at støtte op om den praktiske implementering af forordningen og for at have visse værktøjer, der kan hjælpe dataansvarlige og databehandlere til efterlevelse af forordningen, skal der efter forordningen også tilskyndes til, at der fastlægges certificeringsmekanismer for databeskyttelse og databeskyttelsesmærkninger og -mærker, som tilkendegiver, at en virksomhed lever op til forordningen. Dette skal ske på nationalt og på EU-plan. For nærmere om adfærdskodekser, certificering mv. henvises til Datatilsynets hjemmeside og de vejledninger, der vil blive udarbejdet herom. 17/20

18 9.0 Overførsel af personoplysninger til lande uden for EU Forordningen indeholder i kapitel 5 regler om, hvornår personoplysninger kan overføres til lande uden for EU, dvs. såkaldte tredjelande. Disse regler bygger i vid udstrækning på indholdet af de regler, der er på området allerede i dag. For nærmere om overførsel af personoplysninger til lande uden for EU henvises til Datatilsynets hjemmeside og vejledningen om overførsel af personoplysninger til tredjelande. 18/20

19 10.0 Nye tider for Datatilsynet Forordningen indeholder mange regler om oprettelse af tilsynsmyndigheder og tilsynsmyndighedernes indbyrdes samarbejde. Forordningen indeholder en væsentlig udbygning af tilsynsmyndighedernes europæiske samarbejde. Der oprettes bl.a. et Europæisk Databeskyttelsesråd, som sammensættes af repræsentanter fra medlemsstaternes tilsynsmyndigheder, og som i visse sager kan træffe afgørelser, som er bindende for de nationale tilsynsmyndigheder. Når de nye databeskyttelsesregler finder anvendelse fra den 25. maj 2018, fortsætter Datatilsynet med at være den centrale uafhængige myndighed, der fører tilsyn med, at reglerne på området overholdes. Der sker endvidere en udvidelse af Datatilsynets tilsynsbeføjelser, idet tilsynet fremover vil have adgang til lokaler hos alle private dataansvarlige. I dag er Datatilsynets beføjelser i forhold til disse dataansvarlige begrænset til de typer af behandlinger, som er undergivet et krav om forudgående tilladelse. Datatilsynet udøver allerede i dag som forudsat i forarbejderne til persondataloven i første række sin virksomhed gennem generelle retningslinjer og ved en serviceorienteret rådgivning og vejledning. Med forordningen bliver denne opgave større. Datatilsynet skal således ifølge databeskyttelsesforordningen fremme offentlighedens kendskab til og forståelse af risici, regler, garantier og rettigheder i forbindelse med behandling, og der skal som noget nyt sættes særligt fokus på aktiviteter, der er direkte rettet mod børn. Datatilsynet skal endvidere fremme dataansvarliges og databehandleres kendskab til deres forpligtelser i henhold til forordningen. Selvom Datatilsynet allerede nu i et vist omfang på frivillig basis har samarbejdet med de andre europæiske tilsynsmyndigheder i enkeltsager, må navnlig databeskyttelsesforordningens regler om den såkaldte one-stop-shop-mekanisme og sammenhængsmekanisme forventes at skabe en ny virkelighed for især tilsynet, men i et vist omfang også for danske virksomheder, der opererer i flere medlemsstater. Dette skyldes bl.a., at der med one-stop-shop-mekanismen vil komme til at gælde nogle meget detaljerede regler for, hvordan visse grænseoverskridende sager i den private sektor fremover skal behandles. Reglerne indebærer bl.a., at én national tilsynsmyndighed ("den ledende tilsynsmyndighed") vil være enekompetent til efter en udveksling af forskellige udkast til afgørelser med andre berørte tilsynsmyndigheden i en proces med meget korte svarfrister at træffe afgørelse i konkrete sager. De europæiske datatilsyn må indstille sig på at skulle samarbejde om en ensartet anvendelse af forordningen i markant flere sager, end det hidtil er sket på frivillig basis. indebærer også, at de europæiske tilsynsmyndigheder fremover er forpligtede til på anmodning fra et andet tilsyn at foretage en ønsket aktivitet. Det kan eksempelvis være indhentning af oplysninger eller gennemførelse af et tilsynsbesøg. Anmodnin- 19/20

20 gen skal besvares inden for en måned, og den må kun afslås, hvis tilsynet ikke har kompetence, eller hvis anmodningen vil stride imod forordningen eller anden ret. Endvidere er der i forordningen regler om, at flere tilsyn kan arbejde sammen med henblik på behandling af visse sager. Det forudsættes endvidere i forordningen, at det øgede samarbejde blandt de europæiske tilsyn har til formål at harmonisere fortolkningen af databeskyttelsesreglerne i EU. 20/20

Rigsarkivets konference 2. november 2016

Rigsarkivets konference 2. november 2016 Pligten til at huske retten til at blive glemt Rigsarkivets konference 2. november 2016 Birgit Kleis, kommitteret i Datatilsynet Persondatabeskyttelse: afvejning af hensyn Privatlivets fred Informations-

Læs mere

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning? Her finder I 12 spørgsmål, som I, der er dataansvarlige, med fordel kan forholde jer til allerede nu for at forberede jer på den nye databeskyttelsesforordning, som finder anvendelse fra den 25. maj 2018.

Læs mere

September Indledning

September Indledning September 2016 Eksempel fra KOMBIT: Vejledning til gennemførelse af indledende overordnet kortlægning af it-løsningers parathed i forhold til efterlevelse af kendte krav i Databeskyttelsesforordningen

Læs mere

Rammer og vilkår for brug af data. 25. oktober 2016 Afdelingschef Birgitte Drewes,

Rammer og vilkår for brug af data. 25. oktober 2016 Afdelingschef Birgitte Drewes, Rammer og vilkår for brug af data 25. oktober 2016 Afdelingschef Birgitte Drewes, bidr@sundhedsdata.dk Lovgivning - sundhedsdata Sundhedsloven Persondataloven I sundhedsloven fastlægges reglerne for indhentning/videregivelse

Læs mere

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker Vandforsyningens håndtering af den kommende persondataforordning Danske Vandværker Praktiske spørgsmål vi modtog Hvem har ansvaret for beskyttelse af forbrugernes persondata? Er medlemslister i ringbindsmapper

Læs mere

Nye regler på vej Status på arbejdet med databeskyttelsesforordningen. 8. november 2017

Nye regler på vej Status på arbejdet med databeskyttelsesforordningen. 8. november 2017 Nye regler på vej Status på arbejdet med databeskyttelsesforordningen 8. november 2017 Program Baggrunden for betænkningen Betænkningens hovedkonklusioner og konkrete nedslag Det kommende lovforslag Vejledninger

Læs mere

Overblik over persondataforordningen

Overblik over persondataforordningen Overblik over persondataforordningen November 2016 2 Sanktioner Overtrædelsestype: Indhentning af samtykke ift. børn Behandlinger, som ikke kræver identifikation Data protection by Design/Default Delt

Læs mere

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel

Læs mere

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen ) DATABEHANDLERAFTALE Mellem Silkeborg Kommune Søvej 1 8600 Silkeborg CVR. nr.: 29 18 96 41 (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren

Læs mere

Persondataforordningen. Henrik Aslund Pedersen Partner

Persondataforordningen. Henrik Aslund Pedersen Partner www.pwc.dk Persondataforordningen Morgenmøde Henrik Aslund Pedersen Partner Revision. Skat. Rådgivning. Hvorfor en ny Persondataforordning? EU persondataforordning - Morgenmøde Hillerød 2 Hvorfor en ny

Læs mere

Vejledning om informationssikkerhed

Vejledning om informationssikkerhed Vejledning om informationssikkerhed Birgitte Drewes, afdelingschef, Sundhedsdatastyrelsen Marchen Lyngby, fuldmægtig, Sundhedsdatastyrelsen Vejledningen kan downloades her: http://sundhedsdatastyrelsen.dk/da/rammer-og-retningslinjer/om-informationssikkerhed

Læs mere

Hvordan er det med datasikkerhed og privacy? Highlights fra persondataloven Århus, d. 14. marts 2017 Erika Wolf, jurist, Sundhedsdatastyrelsen

Hvordan er det med datasikkerhed og privacy? Highlights fra persondataloven Århus, d. 14. marts 2017 Erika Wolf, jurist, Sundhedsdatastyrelsen Hvordan er det med datasikkerhed og privacy? Highlights fra persondataloven Århus, d. 14. marts 2017 Erika Wolf, jurist, Sundhedsdatastyrelsen Hvem er jeg, og hvor kommer jeg fra? Erika Wolf, jurist i

Læs mere

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) DATABEHANDLERAFTALE Mellem [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er

Læs mere

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup 14. maj 2012 Orientering om nye regler om private dataansvarliges anmeldelsespligt Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Europaudvalget EUU Alm.del EU Note 27 Offentligt

Europaudvalget EUU Alm.del EU Note 27 Offentligt Europaudvalget 2016-17 EUU Alm.del EU Note 27 Offentligt Europaudvalget, Sundheds- og Ældreudvalget, Uddannelses- og Forskningsudvalget og Retsudvalget EU-konsulenterne EU-note Til: Dato: Udvalgets medlemmer

Læs mere

PERSONDATAFORORDNINGEN STATUS???? OG ER DER NOGET NYT I DEN?

PERSONDATAFORORDNINGEN STATUS???? OG ER DER NOGET NYT I DEN? PERSONDATAFORORDNINGEN STATUS???? OG ER DER NOGET NYT I DEN? Jacob Bjørnsholm Madsen, BL, Juridisk Konsulent 3. Maj Hotel Nyborg Strand, EBF Seminar Hvorfor en persondatalov? Persondataloven af 1. juli

Læs mere

Almindelig viden om persondataforordningen

Almindelig viden om persondataforordningen Almindelig viden om persondataforordningen Hvad er persondata? En Personoplysning er enhver form for information om en identificeret eller identificerbar fysisk person ( den registrerede ). Dette gælder

Læs mere

Personoplysninger. Jens Hørlück

Personoplysninger. Jens Hørlück Personoplysninger Enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede) Vi bør have kontrol over vores personoplysninger. Det er vigtigt at skabe den tillid,

Læs mere

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007)

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007) Side 1 af 8 Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007) Kapitel 1 Lovens område 1. Stk. 7. Loven gælder for enhver form for behandling af personoplysninger i forbindelse

Læs mere

Uddrag af lov om behandling af personoplysninger

Uddrag af lov om behandling af personoplysninger Myndighed: Justitsministeriet Udskriftsdato: 7. oktober 2016 (Gældende) Uddrag af lov om behandling af personoplysninger 1-4. (Udelades) Afsnit II Behandlingsregler Kapitel 4 Behandling af oplysninger

Læs mere

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT DATABEHANDLERAFTALE Aftale omkring behandling af persondata Udarbejdet af: Mentor IT Aftalen Denne databehandleraftale (Aftalen) er er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig)

Læs mere

Persondataforordningen

Persondataforordningen Persondataforordningen Den offentlige uddannelsesdag, 4. oktober 2013 Ved partner Thomas Munk Rasmussen og persondataspecialist, ph.d. Charlotte Bagger Tranberg 2 Aktuelt persondataret Brud på sikkerheden

Læs mere

BILAG 14: DATABEHANDLERAFTALE

BILAG 14: DATABEHANDLERAFTALE BILAG 14: DATABEHANDLERAFTALE Side 1/9 Aftale om databehandling mellem Kunden og Leverandøren Side 2/9 Vejledning: [Dette bilag kan ikke ændres af tilbudsgiver. Bilaget udgør således i sin helhed et mindstekrav

Læs mere

Kontraktbilag 3. Databehandleraftale

Kontraktbilag 3. Databehandleraftale Kontraktbilag 3 Databehandleraftale 1. DATABEHANDLERAFTALENS OMFANG OG FORMÅL Formålet med behandlingen af personoplysninger er overordnet set at drive en iværksætterpilotordning som nærmere fastlagt i

Læs mere

Persondataloven kort fortalt

Persondataloven kort fortalt Persondataloven kort fortalt Den 27. februar 2013 Indhold Indledning... 2 Lov om behandling af personoplysninger... 3 På hvilke områder gælder loven?... 3 Hvilke typer behandling?... 3 Undtagelser fra

Læs mere

Regler om persondata Koordinatormøde den 28. nov. 2017

Regler om persondata Koordinatormøde den 28. nov. 2017 Regler om persondata Koordinatormøde den 28. nov. 2017 Gældende regler i persondataloven I dag er det den danske persondatalov, der beskriver reglerne for, hvordan personoplysninger må indsamles, opbevares

Læs mere

I KORT FORM FORORDNINGEN GDPR PERSONDATA PERSONDATA FORORDNINGEN

I KORT FORM FORORDNINGEN GDPR PERSONDATA PERSONDATA FORORDNINGEN PERSONDATA I KORT FORM Persondataforordningen får virkning fra den 25. maj 2018. Fra denne dato skal alle virksomheder kunne dokumentere, at de overholder forordningen og dens mange nye krav. Denne vejledning

Læs mere

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017 Persondataforordningen fra Dansk Energis perspektiv Xellent inspirationsdag, 1. juni 2017 Brancheorganisationen Mathilde Øelund Jensen Konsulent cand. Jur. Direkte: 35 300 422 msj@danskenergi.dk Agenda

Læs mere

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.]

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.] !"#!"$! % &&&$!"$! [Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.] Du har fra Rigspolitiet modtaget en blank børneattest, dvs. en attest, hvoraf det fremgår, at den person, oplysningerne

Læs mere

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler Blankettype: Privat virksomhed Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger om rent private forhold der foreta- ges for en privat dataansvarlig. Felter markeret

Læs mere

Persondatareguleringen. Hvorfor, hvornår, systemet og lidt om maj 2018

Persondatareguleringen. Hvorfor, hvornår, systemet og lidt om maj 2018 Persondatareguleringen Hvorfor, hvornår, systemet og lidt om maj 2018 Hvorfor? I er så meget i et brændpunkt for persondataretten, at vi er nødt til at stige op i helikopteren. Hvad tænker EU? Hvad tænker

Læs mere

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016 Persondataforordningen Overblik over initiativer og ansvar Dubex Summit - Rasmus Lund november 2016 Rasmus Lund Advokat, partner Leder af persondata team Agenda Henning Mortensen, DI har givet overblik

Læs mere

Retsudvalget, Retsudvalget L 68 endeligt svar på spørgsmål 4, L 69 endeligt svar på spørgsmål 4 Offentligt

Retsudvalget, Retsudvalget L 68 endeligt svar på spørgsmål 4, L 69 endeligt svar på spørgsmål 4 Offentligt Retsudvalget, Retsudvalget 2017-18 L 68 endeligt svar på spørgsmål 4, L 69 endeligt svar på spørgsmål 4 Offentligt Spørgsmål 4 fra Folketingets Retsudvalg vedrørende L 68 og L 69: Vil ministeren overveje

Læs mere

BILAG 5 DATABEHANDLERAFTALE

BILAG 5 DATABEHANDLERAFTALE BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...

Læs mere

Overblik over Justitsministeriets betænkning og de væsentligste ændringer i persondataforordningen

Overblik over Justitsministeriets betænkning og de væsentligste ændringer i persondataforordningen www.pwc.dk Overblik over Justitsministeriets betænkning og de væsentligste ændringer i persondataforordningen Juni 2017 Indhold Indledning 03 Overblik over regulering 04 Justitsministeriets betænkning

Læs mere

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen ) DATABEHANDLERAFTALE Mellem Furesø Kommune Stiager 2 3500 Værløse CVR. nr.: 29188327 (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er der

Læs mere

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx DATABEHANDLERAFTALE Mellem Svendborg Kommune Ramsherred 5 5700 Svendborg CVR. nr.: 29189730 (herefter Kommunen ) og XXXXXX xxxxxx xxxx CVR. nr.: [XXXX] (herefter Leverandøren ) er der indgået nedenstående

Læs mere

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Forsvarsministeriets Materiel- og Indkøbsstyrelse Bilag 8 Databehandleraftale [Vejledning til Tilbudsgiverne: Bilaget skal ikke udfyldes af Tilbudsgiver i forbindelse med afgivelse af tilbud. Bilag udfyldes i fællesskab med FMI, hvis det er nødvendigt.

Læs mere

Overblik over persondataforordningen

Overblik over persondataforordningen Overblik over persondataforordningen København, den 26. maj 2016 2 Agenda Hvad er personoplysninger? Status på persondataforordningen Væsentligste ændringer: Oplysningskategorier Behandlingsbestemmelser

Læs mere

Den nye persondataforordning. 17. maj 2016

Den nye persondataforordning. 17. maj 2016 Den nye persondataforordning 17. maj 2016 2 Agenda Hvad er personoplysninger? Status på processen mod forordningens ikrafttrædelse Væsentligste ændringer: Oplysningskategorier Behandlingsbestemmelser Skærpede

Læs mere

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler Blankettype: Stillingsbesættende virksomhed Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på erhvervsmæssig

Læs mere

Gå-hjem-møde Persondataforordning

Gå-hjem-møde Persondataforordning Gå-hjem-møde Persondataforordning Pernille Nyholm Gaarskjær Persondataspecialist Bech-Bruun Mette Haagensen Advokat, juridisk konsulent Ejendomsforeningen Danmark Tidsplan 15.00 Velkomst 15.05 Persondataforordningen

Læs mere

Gå-hjem-møde Persondataforordning

Gå-hjem-møde Persondataforordning Gå-hjem-møde Persondataforordning Lars Japp Haslund Advokat (CIPM/CIPP/E) Bech-Bruun Mette Haagensen Advokat, juridisk konsulent Ejendomsforeningen Danmark Tidsplan 15.00 Velkomst 15.10 Persondataforordningen

Læs mere

Indholdsfortegnelse. Forord 19 ALMINDELIG DEL 21

Indholdsfortegnelse. Forord 19 ALMINDELIG DEL 21 Indholdsfortegnelse Forord 19 ALMINDELIG DEL 21 1. Forordningen 23 1.1. Tilblivelse, ikrafttrædelse og retsvirkninger 23 1.1.1. Chartret om grundlæggende rettigheder 23 1.1.2. Tilblivelsen 23 1.1.3. Forordningens

Læs mere

Det skal du have styr pa inden 2018

Det skal du have styr pa inden 2018 Det skal du have styr pa inden 2018 Nedenfor kan du få et overblik over, hvad din virksomhed skal have styr på inden den ny persondataforordning træder i kraft. Dataansvarlig eller databehandler I persondatalovens

Læs mere

Europaudvalget 2015-16 L 29 endeligt svar på spørgsmål 20 Offentligt

Europaudvalget 2015-16 L 29 endeligt svar på spørgsmål 20 Offentligt Europaudvalget 2015-16 L 29 endeligt svar på spørgsmål 20 Offentligt Folketinget Europaudvalget Christiansborg 1240 København K Projektgruppen vedr. retsforbeholdet Dato: 28. oktober 2015 Kontor: Politikontoret

Læs mere

Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren]

Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren] Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren] DATABEHANDLERAFTALE Der er dags dato indgået følgende Databehandleraftale mellem

Læs mere

Uddrag af persondataloven

Uddrag af persondataloven Uddrag af persondataloven Behandling af oplysninger 5. Oplysninger skal behandles i overensstemmelse med god databehandlingsskik. Stk. 2. Indsamling af oplysninger skal ske til udtrykkeligt angivne og

Læs mere

FÅ STYR PÅ PERSONALEADMINISTRATION OG HÅNDTERINGEN AF PERSONOPLYSNINGER I MINDRE VIRKSOMHEDER

FÅ STYR PÅ PERSONALEADMINISTRATION OG HÅNDTERINGEN AF PERSONOPLYSNINGER I MINDRE VIRKSOMHEDER FÅ STYR PÅ PERSONALEADMINISTRATION OG HÅNDTERINGEN AF PERSONOPLYSNINGER I MINDRE VIRKSOMHEDER V/ Souschef, advokat jannie merete pedersen og overenskomst, advokat Camilla Mondrup topp, Dansk erhverv 24.

Læs mere

PERSONDATALOVEN - UDFORDRINGER. Birthe Boisen, Juridisk Konsulent Tlf

PERSONDATALOVEN - UDFORDRINGER. Birthe Boisen, Juridisk Konsulent Tlf PERSONDATALOVEN - UDFORDRINGER Birthe Boisen, Juridisk Konsulent Tlf. 21 45 22 48 bfb@danskfjernvarme.dk PERSONDATALOVEN OG PERSONDATAFORORDNINGEN Persondataloven Lov om behandling af personoplysninger,

Læs mere

Ny persondataforordning

Ny persondataforordning Ny persondataforordning GUIDE Hvorfor? Ny persondataforordning Den eksisterende persondatalov gennemfører direktiver fra 1995 en tid, som digitaliseringen for længst har overhalet. En ny persondataforordning

Læs mere

7. NOVEMBER Side 1. Udbud og persondata. Advokat Jesper Nørøxe samt advokat Rasmus Holm Hansen

7. NOVEMBER Side 1. Udbud og persondata. Advokat Jesper Nørøxe samt advokat Rasmus Holm Hansen Side 1 Udbud og persondata Advokat Jesper Nørøxe samt advokat Rasmus Holm Hansen Side 2 Det nye retlige landskab forordningen Persondataloven (og bekendtgørelserne udstedt i medfør af den) ophæves Forordningen

Læs mere

Den nye persondataforordning. 2. februar 2017

Den nye persondataforordning. 2. februar 2017 Den nye persondataforordning 2. februar 2017 Vores persondata compliance team er forankret i afdelingen for Corporate Compliance & Investigations Det største advokatkontor i Danmark* Retsområder Arbejdsret

Læs mere

Justitsministeriet Slotsholmsgade København K Danmark

Justitsministeriet Slotsholmsgade København K Danmark Justitsministeriet Slotsholmsgade 10 1216 København K Danmark databeskyttelse@jm.dk W I L D E R S P L A D S 8 K 1 4 0 3 K Ø BENHAVN K T E L E F O N 3 2 6 9 8 8 8 8 D I R E K T E A N P E @ H U M A N R I

Læs mere

Retsudvalget REU Alm.del endeligt svar på spørgsmål 919 Offentligt

Retsudvalget REU Alm.del endeligt svar på spørgsmål 919 Offentligt Retsudvalget 2016-17 REU Alm.del endeligt svar på spørgsmål 919 Offentligt Folketinget Retsudvalget Christiansborg 1240 København K Lovafdelingen Dato: 5. oktober 2017 Kontor: Databeskyttelseskontoret

Læs mere

Brugen af personoplysninger

Brugen af personoplysninger Gode råd om Brugen af personoplysninger Kend reglerne for håndtering af personlige oplysninger om medarbejderne! Udgivet af Dansk Handel & Service Brugen af personoplysninger 2006 Gode råd om Brugen af

Læs mere

Persondataloven og sundhedsvidenskabelige forskningsprojekter

Persondataloven og sundhedsvidenskabelige forskningsprojekter Persondataloven og sundhedsvidenskabelige forskningsprojekter Fuldmægtig Signe Astrid Bruun Fuldmægtig Martin Nybye-Petersen Datatilsynet 9. januar 2014 Dagens Program Datatilsynets struktur og arbejdsopgaver

Læs mere

Persondataloven i en Smart City kontekst. Alexander Tureczek, Ph.d. candidate

Persondataloven i en Smart City kontekst. Alexander Tureczek, Ph.d. candidate Persondataloven i en Smart City kontekst Alexander Tureczek, Ph.d. candidate atur@dtu.dk Indholdsfortegnelse Persondataloven historie og hensigt Opdeling af loven Vigtige paragrafer Fremtiden Intentionen

Læs mere

ELEKTRONISK VINDUESKIGGERI HVOR ER

ELEKTRONISK VINDUESKIGGERI HVOR ER ELEKTRONISK VINDUESKIGGERI HVOR ER GRÆNSEN? Af advokat, LL.M., Benjamin Lundström og advokat, HD(O), Pernille Borup Vejlsgaard fra advokatfirmaet von Haller. Ifølge den nugældende lovgivning er der grænser

Læs mere

HVOR GÅR DET GALT MED SIKKERHEDEN I KOMMUNER OG REGIONER? Lena Andersen, kontorchef i Datatilsynet

HVOR GÅR DET GALT MED SIKKERHEDEN I KOMMUNER OG REGIONER? Lena Andersen, kontorchef i Datatilsynet HVOR GÅR DET GALT MED SIKKERHEDEN I KOMMUNER OG REGIONER? Lena Andersen, kontorchef i Datatilsynet Om Datatilsynet Datatilsynet er den statslige myndighed, der fører tilsyn med lov om behandling af personoplysninger

Læs mere

Lov om retshåndhævende myndigheders behandling af personoplysninger 1)

Lov om retshåndhævende myndigheders behandling af personoplysninger 1) LOV nr 410 af 27/04/2017 (Gældende) Udskriftsdato: 18. oktober 2017 Ministerium: Justitsministeriet Journalnummer: Justitsmin., j.nr. 2016-7910-0008 Senere ændringer til forskriften Ingen Lov om retshåndhævende

Læs mere

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

Dragør Kommune Borgmestersekretariat, IT og Personale Marts Bilag 5 Databehandleraftale 1. Overholdelse af gældende regler og forskrifter Databehandleren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten,

Læs mere

5419/1/16 REV 1 ADD 1 ht/lao/ef 1 DRI

5419/1/16 REV 1 ADD 1 ht/lao/ef 1 DRI Rådet for Den Europæiske Union Bruxelles, den 8. april 2016 (OR. en) Interinstitutionel sag: 2012/0011 (COD) 5419/1/16 REV 1 ADD 1 RÅDETS BEGRUNDELSE Vedr.: TAPROTECT 2 JAI 38 MI 25 DIGIT 21 PIX 9 FREMP

Læs mere

Fremsat den 28. marts 2017 af justitsministeren (Søren Pape Poulsen) Forslag. til

Fremsat den 28. marts 2017 af justitsministeren (Søren Pape Poulsen) Forslag. til Lovforslag nr. L 168 Folketinget 2016-17 Fremsat den 28. marts 2017 af justitsministeren (Søren Pape Poulsen) Forslag til Lov om retshåndhævende myndigheders behandling af personoplysninger (Gennemførelse

Læs mere

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål. Databehandleraftale Mellem Landbrugsstyrelsen Nyropsgade 30 1780 København V CVR-nr: 20814616 (som dataansvarlig) og [Databehandler] [Adresse] [Postnummer og by] CVR-nr: [xxxx] (som databehandler) Om behandling

Læs mere

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN] DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN] Tekst markeret med GRØN, udfyldes inden udsendelse til leverandøren Tekst markeret med TURKIS, udfyldes af leverandøren Side 1/16 Side 2/16 DATABEHANDLERAFTALE

Læs mere

Driftskontrakt. Databehandleraftale. Bilag 14

Driftskontrakt. Databehandleraftale. Bilag 14 Databehandleraftale Bilag 14 DATABEHANDLERAFTALE mellem Danpilot Havnepladsen 3A, 3. sal 5700 Svendborg CVR-nr. 30071735 (herefter den Dataansvarlige ) og [Leverandørens navn] [adresse] [postnr. og by]

Læs mere

Vejledning om videregivelse. af personoplysninger til brug for forskning og statistik

Vejledning om videregivelse. af personoplysninger til brug for forskning og statistik Vejledning om videregivelse af personoplysninger til brug for forskning og statistik 1 Indholdsfortegnelse 1. Baggrund 2. Definitioner 2.1. Personoplysning 2.2. Anonymiseret personoplysning (i persondatalovens

Læs mere

Databeskyttelsesdagen 2016

Databeskyttelsesdagen 2016 Databeskyttelsesdagen 2016 Christiansborg v/ direktør Cris-na Angela Gulisano Emner Datatilsynet i dag Ny forordning på vej Hvilken tilsynsmyndighed? Nye opgaver? Nye måder at samarbejde på? Fremtidens

Læs mere

Persondataforordningen

Persondataforordningen Persondataforordningen Myter og muligheder løsninger og praktiske ansvisninger August 2016 ATV s digitale vismænd Temamøde om persondataforordningen Advokat Janne Glæsel - jgl@gorrissenfederspiel.com 1

Læs mere

Workshop om persondataforordningen

Workshop om persondataforordningen ARBEJDET MED PERSONDATA Workshop om persondataforordningen Den 14. november 2016 Af Birthe Boisen, Juridisk konsulent ARBEJDET MED FORORDNINGEN 25. maj 2018 Forordningen træder i kraft i hele EU 1.kvartal

Læs mere

Persondataforordningen...den nye erklæringsstandard

Persondataforordningen...den nye erklæringsstandard www.pwc.dk Persondataforordningen...den nye erklæringsstandard September 2017 Revision. Skat. Rådgivning. Personsdataforordningen igen. Udkast til erklæring i høring hos revisorer, advokater, databehandlere,

Læs mere

Forslag til lov om retshåndhævende myndigheders behandling af personoplysninger 1 (gennemførelse af direktiv om databeskyttelse på

Forslag til lov om retshåndhævende myndigheders behandling af personoplysninger 1 (gennemførelse af direktiv om databeskyttelse på Lovafdelingen Dato: 1. marts 2017 Kontor: Databeskyttelseskontoret Sagsbeh: Kenny Rasmussen Sagsnr.: 2016-7910-0008 Dok.: 2229227 Forslag til lov om retshåndhævende myndigheders behandling af personoplysninger

Læs mere

Bilag 11 - Databehandleraftale

Bilag 11 - Databehandleraftale Bilag 11 - Databehandleraftale [Vejledning til tilbudsgiver: Bilaget skal ikke udfyldes af tilbudsgiver. Bilaget er i sin helhed at betragte som et mindstekrav (MK), jf. udbudsbetingelsernes punkt 3.2.3.2

Læs mere

DEN KOMMENDE EU-FORORDNING

DEN KOMMENDE EU-FORORDNING DEN KOMMENDE EU-FORORDNING Aarhus, 5. april 2016 Daiga Grunte-Sonne, advokat SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK 62 60 67 11 DEN KOMMENDE EU-FORORDNING Januar 2012 Forslag fra Kommissionen

Læs mere

Tjekliste til databehandleraftaler

Tjekliste til databehandleraftaler Tjekliste til databehandleraftaler Bruun & Hjejle har i november 2017 udarbejdet denne tjekliste til brug for gennemgang af databehandleraftaler modtaget fra samarbejdspartnere. Tjeklistens pkt. 1 indeholder

Læs mere

Privatlivspolitik for Vejle Rejser ApS.

Privatlivspolitik for Vejle Rejser ApS. Privatlivspolitik for Vejle Rejser ApS. Dataansvar Vi tager din databeskyttelse alvorligt Vi behandler persondata og har derfor vedtaget denne privatlivsbeskyttelsespolitik, der fortæller dig, hvordan

Læs mere

1 Generelt Formål med behandlingen af dine personoplysninger De personlige oplysninger, som vi behandler om dig...

1 Generelt Formål med behandlingen af dine personoplysninger De personlige oplysninger, som vi behandler om dig... INTERN PERSONDATAPOLITIK FOR FRIVILLIGE I MUSKELSVINDFONDEN INDHOLDSFORTEGNELSE: 1 Generelt... 3 2 Formål med behandlingen af dine personoplysninger... 3 3 De personlige oplysninger, som vi behandler om

Læs mere

1.3. Kentaur er dataansvarlig for dine personoplysninger. Al henvendelse til Kentaur skal ske via kontaktoplysningerne anført under pkt. 7.

1.3. Kentaur er dataansvarlig for dine personoplysninger. Al henvendelse til Kentaur skal ske via kontaktoplysningerne anført under pkt. 7. PERSONDATAPOLITIK 1. GENERELT 1.1. Denne politik om behandling af personoplysninger ( Personadatapolitik ) beskriver, hvorledes Kentaur A/S ( Kentaur, os, vores, vi ) indsamler og behandler oplysninger

Læs mere

Bilag X Databehandleraftale

Bilag X Databehandleraftale Bilag X Databehandleraftale 1 Anvendelsesområde og omfang 1.1 KUNDEN er dataansvarlig for de personoplysninger, som MICO behandler på vegne af KUNDEN i henhold til Aftalen. MICO er databehandler. KUNDEN

Læs mere

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017 SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017 Side 1/19 Vejledning til brug af skabelonen Tekst, der er sat i [ ] og markeret med gul er aftaletekst,

Læs mere

Vedrørende behandling af flypassagerers biometriske oplysninger i form af template af fingeraftryk

Vedrørende behandling af flypassagerers biometriske oplysninger i form af template af fingeraftryk Brevdato: 23. maj 2006 Modtager: Scandinavian Airlines Danmark (SAS) J.nr. 2006-219-0370 Stikord: Fingeraftryk, personoplysninger, saglighed og proportionalitet, alternativ løsning, oplysningspligt, datasikkerhed.

Læs mere

Europaudvalget 2010 KOM (2010) 0609 Bilag 1 Offentligt

Europaudvalget 2010 KOM (2010) 0609 Bilag 1 Offentligt Europaudvalget 2010 KOM (2010) 0609 Bilag 1 Offentligt Lovafdelingen Dato: 15. november 2010 Kontor: Statsretskontoret Sagsnr.: 2010-7614-0030 Dok.: OTE40148 G R U N D - O G N Æ R H E D S N O T A T vedrørende

Læs mere

Privatlivspolitik for Zieglersoft.

Privatlivspolitik for Zieglersoft. Privatlivspolitik for Zieglersoft. Dataansvar Vi tager din databeskyttelse alvorligt Vi behandler persondata og har derfor vedtaget denne privatlivsbeskyttelsespolitik, der fortæller dig, hvordan vi behandler

Læs mere

Fællesmøde for flis- og brændselspillegruppen samt halmgruppen

Fællesmøde for flis- og brændselspillegruppen samt halmgruppen ARBEJDET MED PERSONDATA Fællesmøde for flis- og brændselspillegruppen samt halmgruppen Den 10. november 2016 Af Birthe Boisen, Juridisk konsulent ARBEJDET MED FORORDNINGEN 25. maj 2018 Forordningen træder

Læs mere

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse EU s persondataforordning Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse Disposition Kort om forordningen Implementering - Processen i Justitsministeriet og UVM i forhold

Læs mere

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler Blankettype: Advarselsregister Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på at advare andre

Læs mere

Specifik information om persondataloven

Specifik information om persondataloven Specifik information om persondataloven Lovens område Med persondataloven er der fastsat generelle regler om behandling af personoplysninger for offentlige myndigheder og den private sektor. Loven omfatter

Læs mere

Håndtering af personoplysninger ved salg og markedsføring

Håndtering af personoplysninger ved salg og markedsføring Håndtering af personoplysninger ved salg og markedsføring DI s seminar om personoplysninger den 20. december 2017 Pia Kirstine Voldmester, advokat (H) og partner Introduktion til forordningen og grundlæggende

Læs mere

Den nye persondataforordning Indlæg den Ejendomsforeningen Fyn. A focused subheading Date

Den nye persondataforordning Indlæg den Ejendomsforeningen Fyn. A focused subheading Date Den nye persondataforordning Indlæg den 24.10.2016 Ejendomsforeningen Fyn v/jesper POWERPOINT Løffler Nielsen TEMPLATE TITLE A focused subheading Date Emner 1. Kort introduktion til forordningen 2. Hvordan

Læs mere

Videregivelse af oplysninger mellem myndigheder

Videregivelse af oplysninger mellem myndigheder Videregivelse af oplysninger mellem myndigheder Forvaltningslovens 27 og 32 Retsplejelovens 115 Persondatalovens 6, 7 og 8 Ny databeskyttelsesforordning 25/5-18 Retshåndhævelseslov (i kraft 30/4-17) 1,

Læs mere

Til Økonomi- og Indenrigsministeriet 18. september 2017

Til Økonomi- og Indenrigsministeriet 18. september 2017 Økonomiforvaltningen NOTAT Til Økonomi- og Indenrigsministeriet 18. september 2017 Udtalelse om databeskyttelsesrådgiverens opgaver er forenelige med chefen for Intern Revisions opgaver. Københavns Kommune

Læs mere

Journalisering af samlede svar førte til behandling af personoplysninger i strid med persondataloven.

Journalisering af samlede svar førte til behandling af personoplysninger i strid med persondataloven. 2015-32 Journalisering af samlede svar førte til behandling af personoplysninger i strid med persondataloven. Kommune burde derfor have adskilt sine svar 15. juni 2015 En mand havde en omfattende korrespondance

Læs mere

De Europæiske Fællesskabers Tidende. (Retsakter hvis offentliggørelse ikke er obligatorisk) KOMMISSIONEN

De Europæiske Fællesskabers Tidende. (Retsakter hvis offentliggørelse ikke er obligatorisk) KOMMISSIONEN L 181/19 II (Retsakter hvis offentliggørelse ikke er obligatorisk) KOMMISSIONEN KOMMISSIONENS BESLUTNING af 15. juni 2001 om standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande

Læs mere

Forslag til folketingsbeslutning om Danmarks tilslutning på mellemstatsligt grundlag til EU s direktiv om databeskyttelse på retshåndhævelsesområdet

Forslag til folketingsbeslutning om Danmarks tilslutning på mellemstatsligt grundlag til EU s direktiv om databeskyttelse på retshåndhævelsesområdet Beslutningsforslag nr. B 3 Folketinget 2016-17 Fremsat den 5. oktober 2016 af justitsministeren (Søren Pind) Forslag til folketingsbeslutning om Danmarks tilslutning på mellemstatsligt grundlag til EU

Læs mere

Håndtering af Persondataforordningen. Aarhus den 22. august 2017 Advokat Kamilla Mondrup

Håndtering af Persondataforordningen. Aarhus den 22. august 2017 Advokat Kamilla Mondrup Håndtering af Persondataforordningen Aarhus den 22. august 2017 Advokat Kamilla Mondrup Overblik Persondatalovgivningen i dag og i fremtiden Særlige emner under Persondataforordningen Personoplysninger

Læs mere

Europaudvalget 2012 KOM (2012) 0011 Bilag 18 Offentligt

Europaudvalget 2012 KOM (2012) 0011 Bilag 18 Offentligt Europaudvalget 2012 KOM (2012) 0011 Bilag 18 Offentligt Folketinget Grønlandsudvalget Christiansborg 1240 København K Lovafdelingen Dato: 21. marts 2016 Kontor: Databeskyttelseskontoret Sagsbeh: André

Læs mere

DEN NYE PERSONDATAFORORDNING. er din virksomhed klar?

DEN NYE PERSONDATAFORORDNING. er din virksomhed klar? DEN NYE PERSONDATAFORORDNING er din virksomhed klar? DEN NYE PERSONDATAFORORDNING ER DIN VIRKSOMHED KLAR? Den nye europæiske persondataforordning, General Data Protection Regulation, træder i kraft den

Læs mere

Forstå de nye krav til databehandling og lær at afkræfte myter om persondata

Forstå de nye krav til databehandling og lær at afkræfte myter om persondata Forstå de nye krav til databehandling og lær at afkræfte myter om persondata Birgitte Kofod Olsen, Partner, Cand.jur., PhD, Carve Consulting Medstifter af DataEthics Vi skaber muligheder & realiserer potentialet

Læs mere