Fysiske personer. Vi ved jo alle, hvad en person er. Det er sådan en som os selv (Peter Blume: Databeskyttelsesret, 4. udg., 2013, s. 30f.

Transkript

1 GDPR and all that Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger Fagligt forum for 7-arkiverne

2 Til trøst Behandling af personoplysninger bør have til formål at tjene menneskeheden. Retten til beskyttelse af personoplysninger er ikke en absolut ret; den skal ses i sammenhæng med sin funktion i samfundet og afvejes i forhold til andre grundlæggende rettigheder i overensstemmelse med proportionalitetsprincippet. (Præambelbetragtning nr. 4)

3 Personoplysninger enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet

4 Fysiske personer Vi ved jo alle, hvad en person er. Det er sådan en som os selv (Peter Blume: Databeskyttelsesret, 4. udg., 2013, s. 30f.)

5 Ejendomsret til oplysninger

6 Noget om databehandleraftaler og underdatabehandleraftaler Det er den dataansvarlige, der har ansvaret også for, at der føres tilsyn med databehandler og underdatabehandler Se Datatilsynets Vejledning om dataansvarlige og databehandlere + paradigme for databehandleraftale og Vejledende tekst om tilsyn med databehandlere og underdatabehandlere

7 Arkivformål i samfundets interesse Præambelbetragtning nr. 158: Når personoplysninger behandles til arkivformål, bør denne forordning også gælde for den pågældende behandling, idet denne forordning dog ikke bør finde anvendelse på afdøde personer. Offentlige myndigheder eller offentlige eller private organer, der opbevarer fortegnelser af samfundsinteresse, bør være tjenester, der i henhold til EU-retten eller medlemsstaternes nationale ret har retlig forpligtelse til at indhente, bevare, vurdere, ordne, beskrive, udlevere, fremme, formidle og give adgang til fortegnelser af blivende værdi i samfundets interesse. [ ]

8 Artikel Behandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål skal være underlagt fornødne garantier for registreredes rettigheder og frihedsrettigheder i overensstemmelse med denne forordning. Disse garantier skal sikre, at der er truffet tekniske og organisatoriske foranstaltninger, især for at sikre overholdelse af princippet om dataminimering. Disse foranstaltninger kan omfatte pseudonymisering, forudsat at disse formål kan opfyldes på denne måde. Når disse formål kan opfyldes ved viderebehandling, som ikke gør det muligt eller ikke længere gør det muligt at identificere de registrerede, skal formålene opfyldes på denne måde.

9 Artikel 89, stk. 1 Handler om Arkivformål: Her duer anonymisering ikke Videnskabelige formål: Anonymisering kan være relevant Historiske forskningsformål: Næppe relevant Statistiske formål: Relevant

10 Artikel 89, stk Når personoplysninger behandles til arkivformål i samfundets interesse, kan EU-retten eller medlemsstaternes nationale ret fastsætte undtagelser fra de rettigheder, der er omhandlet i artikel 15, 16, 18, 19, 20 og 21, under iagttagelse af de betingelser og garantier, der er omhandlet i nærværende artikels stk. 1, såfremt sådanne rettigheder sandsynligvis vil gøre det umuligt eller i alvorlig grad hindre opfyldelse af de specifikke formål, og sådanne undtagelser er nødvendige for at opfylde formålene.

11 Artikel 89, stk. 3 Ikke taget med i databeskyttelsesloven (det er stk. 2 derimod) Afventer lov om ændring af arkivloven Så indtil videre har borgerne de rettigheder, der fremgår af artikel 15, 16, 18, 19, 20 og 21 i databeskyttelsesforordningen

12 Artikel 89, stk Når behandling som omhandlet i stk. 2 og 3 samtidig tjener et andet formål, anvendes undtagelser kun på behandling til de formål, der er omhandlet i nævnte stykker. Dvs., at (gen)anvendes arkiverede personoplysninger til f.eks. administrative formål, gælder bestemmelserne om den registreredes rettigheder fuldt ud herunder oplysningspligt.

13 Særlige kategorier Artikel 9, stk. 1: Behandling af personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering er forbudt.

14 Artikel 9, stk. 2, litra j) Stk. 1 finder ikke anvendelse, hvis et af følgende forhold gør sig gældende: Behandling er nødvendig til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, på grundlag af EUretten eller medlemsstaternes nationale ret og står i rimeligt forhold til det mål, der forfølges, respekterer det væsentligste indhold af retten til databeskyttelse og sikrer passende og specifikke foranstaltninger til beskyttelse af den registreredes grundlæggende rettigheder og interesser.

15 Databeskyttelsesloven (lov nr. 502 af 23. maj 2018) 14. Oplysninger, der er omfattet af denne lov, kan overføres til opbevaring i arkiv efter reglerne i arkivlovgivningen.

16 Hvad betyder det så? Offentlige arkiver kan modtage og bevare alle slags personoplysninger Offentlige arkiver er dataansvarlige for de oplysninger, de behandler til arkivformål i samfundets interesse Dataminimering er et fokusområde Ansvar for sikkerhed mv. påhviler den dataansvarlige

17 Indsigt i og genanvendelse af data Det er med rette anerkendt, at forskning er samfundsmæssigt værdifuld, hvorfor det er ønskeligt, at arkivering kan benyttes som alternativ til sletning eller anonymisering. Dette forudsætter principielt, at arkivering har de samme konsekvenser som sletning; først og fremmest at oplysningerne aldrig mere vil kunne behandles med individuelle konsekvenser for den registrerede. (Blume (2013) s. 131)

18 Indsigt for den registrerede Databeskyttelsesforordningens artikel 15 Arkivlovens 42

19 Arkivlovens 42 indebærer, at den oprindelig dataansvarlige myndighed får indsigt i arkiverede oplysninger om en registreret med henblik at træffe en afgørelse om den samme registrerede Arkivering er altså ikke helt det samme som sletning

20 Indsigt for andre Hvis den registreredes rettigheder skal begrænses, begrænses ligeledes formålene til videnskab, historisk forskning, statistik; dvs. ingen konsekvenser for den enkelte registrerede

21 Administrative formål (fx) Den registreredes rettigheder træder i kraft i fuldt mål, jf. databeskyttelsesforordningens artikel 89, stk Så er der nemlig ikke længere tale om arkivformål i samfundets interesse mv., men om indsamling af data hos en anden end den, data vedrører

22 Dvs.: Der skal være styr på formålene: saglige og legitime, jf. arkivbekendtgørelsens 8 De databeskyttelsesmæssige hensyn skal varetages fuldt ud Der skal være en dataansvarlig - Og er der det, hvis man publicerer på nettet? Nej, ligesom ikke.

23 Personoplysninger på nettet: Undgå nulevende Eller få de nulevendes samtykke Og hvis ikke det er muligt, så slet ved anmodning uden diskussion Men dette er blot forhåbentlig gode - råd