Privatlivsbeskyttelse og Informationssikkerhed i Grønland. Clean & simple. Kontakt: Mikael Hertig. Tlf , mail

Transkript

1 Privatlivsbeskyttelse og Informationssikkerhed i Grønland Clean & simple Kontakt: Mikael Hertig. Tlf , mail mikael@philtrum.dk

2 Grønland og lovstyring

3 Inuit og skreven ret Fangerkultur uden behov for retsnormer Skreven ret kom med kolonimagten Men skreven ret skulle egentlig beskytte borgerne Borger: spædbarn, olding, fanger, kvinde, elev, indsat, ansat, udsat, hvem som helst Grønland som retssamfund: Myndigheden kan det være klogt at stå sig med, men den er ikke borgerens bedste ven men der er beskyttelsesmekanismer i Grundloven

4 Den nuværende situation Hver grønlænder er gennemregistreret I kommuner og i forvaltninger I virksomheder i Grønland Og i udlandet Krænkelser finder sted, og hvis grønlænderne kendte til deres rettigheder og til masseovervågningens omfang, ville de reagere på det.

5 Privacy og Informationssikkerhed To forskellige hensyn, der bedst løses ved den samme organisering Ledelsesforankring, delegation, organisering, specialisering Teknik Kryptering, backup, sikkerhedsforanstaltninger Overlappende og modstridende hensyn

6 Informationssikkerhed Definitioner Tilgængelighed, integritet, fortrolighed ISMS Information Security Management System Organisering, hændelsrapportering, politik. (Plan do act reflect) Prioritering efter risiko Den, der har smerten, bør have ansvaret Det er ikke teknik altsammen, det er systematik og prioritering

7 Fra

8 Menneskerettigheder EMRK art 12 1: Enhver har ret til respekt for sit privatliv og sit familieliv, sit hjem og sin korrespondance 2:: Ingen offentlig myndighed kan gøre indgreb i udøvelsen af denne ret, undtagen for så vidt det sker i overensstemmelse med loven og er nødvendigt i et demokratisk samfund af hensyn til den nationale sikkerhed, den offentlige tryghed eller landets økonomiske velfærd, for at forebygge uro eller forbrydelse, for at beskytte sundheden eller sædeligheden eller for at beskytte andres ret og frihed.

9 Retlig trinfølge og magtens tredeling Øverst GUD Så Kongen som lovgiver, dommer og regering Efter demokratiets indførelse Øverst grundlovgiver Grundlov og ligestillet Love og anordninger (folketingets eller landstingets) Bekendtgørelser og tilsvarende retsforskrifter med hjemmel i lov Efter demokratiets indførelse Deling i lovgivende, dømmende og og udøvende magt: Hvorfor? For at sikre borgeren mod vilkårlig magtudøvelse Opdeling efter offentlig og privat sektor Forvaltningsret : Intet er tilladt uden en lovhjemmel Det private liv, aftaleret, osv: Alt hvad der ikke er retligt reguleret, er tilladt.

10 Min glæde over persondataloven Grønland betræder nu en vej, hvor oplysninger om dem efterhånden beskyttes i samme udstrækning, som borgerne i andre lande er det Grønland vil i løbet af en årrække kunne opnå status som et sikkert tredjeland og nyde den internationale tillid og respekt, der er forbundet med det. Myndigheder og virksomheder får pligt til at træffe de fornødne foranstaltninger imod, at persondata hændeligt fortabes, misbruges, forringes eller kommer uvedkommende i hænde.

11 Persondataloven generelt Gælder offentlig og privat virksomhed, når det handler om systematisk it-registrering af personer Persondata er alle data, der kan pege på personer. Indsamling af persondata skal afgrænses Af et sagligt, veldefineret og specifikt formål Dataintegritet: retvisende, ikke vildledende. Ajourføring Opbevares og behandles sikkert.

12 Grundprincipper i Persondataloven Tilgængelighed Integritet Fortrolighed Relevans /adækvans kohærens Betingelser: Samtykke, lovhjemmel eller nødvendighed Rettigheder: Adgang til oplysninger om sig selv, blokere, slette, rette Afvejningsprincip: værdispringsregler

13 Almindelige, følsomme og fortrolige persondata De fleste af lovens bestemmelser gælder for alle persondata. Men der er bestemmelser om følsomme persondata ( 7) og om fortrolige ( 8) Men lad være med at sige: personfølsomme data, for så bliver alle begreberne rodet sammen

14 Særlige begreber Samtykke: stiltiende accept eller udtrykkeligt samtykke? Bevislighed som det første Borgeren skal have været fuldstændig med på, hvad der nikkes ja til hele vejen igennem Værdispring: Tilsidesættelsen af hensynet til borgeren må kun ske hvis det modgående hensyn er indlysende vigtigere

15 Særlige regler Videnskabelige eller statistiske undersøgelser Omgang med cpr-numre Markedsføringsbureauer må kun indsamle og formidle persondata mod udtrykkeligt samtykke Automatisk registrering af hvem personalet ringer til er forbudt Kreditoplysning

16 Tredjeland? (1) Set fra EU s side er Grønland usikkert tredjeland Det er lidt tricky, for Grønland er ikke med i EU og derfor ikke direkte underkastet EU s nuværende persondatadirektiv De eksisterende registerlove har aldrig været testet op imod direktivet Danske persondata må ikke overføres til et usikkert tredjeland, uden at der foreligger en safe harbor-ordning eller er indgået bindende aftaler og det er der ikke Danske persondata overføres på livet løs Godkendende myndighed: Datatilsynet

17 Tredjeland 27 (2) Ingen overførsel Dog skal overførslerne vurderes for sig Undtagelser: samtykke, nødvendig af hensyn til opfyldelse af en aftale, af hensyn til den registrerede, af hensyn til en bestemmelse i henhold til (dansk) lov eller retskrav, for at beskytte den registreredes vitale interesser, er offentligt tilgængelige, Der kan gives tilladelse, hvis Datatilsynet finder, at den dataansvarlige yder tilstrækkelige garantier...

18 Registreredes rettigheder Ret til at være informeret om indsamlerens identitet, formålet, oplysninger og omstændigheder Videregivelse til hvem Undtagen hvis Afgørende hensyn til private interesser, herunder den registrerede selv, statens sikkerhed, strafferetlig efterforskning mv

19 Registreredes rettigheder 2 Ret til at kræve Uberettiget registrering stoppet Videregivelse til tredjemand stoppet Uberettiget registrerede data slettet Fejl rettet Videregivne data rettet, slettet eller blokeret Samtykker tilbagekaldt Afgørelser, der alene virker på baggrund af elektroniske registreringer -. tilbagekaldt.

20 Registerindsigt Kræver ingen begrundelse og skal gives: Om, hvilke oplysninger der behandles, formål, modtagerkategorier, datafangst Medmindre Som ved partsoffentlighed efter grl. Offentlighedslov Ulidelig gentagelse, videnskabeligt, Skriftligt eller digitalt som udgangspunkt Legitimation

21 Sikkerhedsregler Forholdet mellem Dataansvarlig og Databehandler (tredjemand): aftale Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.

22 Anmeldelse offentlig forvaltning Glem registerforskrifter Kun få registre skal anmeldes, men typisk: Journalsystemer i offentlig forvaltning Oplysninger om medlemskab af fagforening, parti, trossamfund Kreditinformationssystemer Advarselsregistre Systemer med følsomme eller fortrolige data Der er undtagelser for langt det meste Henvendelsespligt ved visse registre Hvis anmeldepligt, så logning og forhåndsgodkendelse via elektronisk blanket

23 Anmeldelse privat forvaltning Trossamfund, partiforeninger, fagforeninger, KRIM IT-servicebureauer Kreditværdighed Jobbureauer

24 Datatilsynet Datatilsynet i København er kontrol- og tilsynsmyndighed Behandler klager Fører kontrol af egen drift Udsender hvert år en offentlig rapport til folketinget og Selvstyret