Indholdsfortegnelse. Forord 19 ALMINDELIG DEL 21

Transkript

1 Indholdsfortegnelse Forord 19 ALMINDELIG DEL Forordningen Tilblivelse, ikrafttrædelse og retsvirkninger Chartret om grundlæggende rettigheder Tilblivelsen Forordningens ikrafttrædelse Retsvirkning forordning og ikke et direktiv Væsentligste nydannelser Hvordan gribes compliancearbejdet an? Opstart Analyse Løsningsbeskrivelse Implementering Drift Anvendelsesområde Det materielle anvendelsesområde Organisatorisk afgrænsning Funktionel afgrænsning Det geografiske anvendelsesområde Databehandlere og Dataansvarlige etableret inden for EU Dataansvarlige etableret uden for EU Udbud af varer eller tjenesteydelser til personer i EU Overvågning af personer i EU Krav om repræsentant Hvad med EØS og England efter Brexit? Tjeklister Forordningens geografiske anvendelsesområde Definitioner Personoplysninger Den registrerede 41 7

2 Indholdsfortegnelse 4.3. Anonymiserede oplysninger Pseudonymiserede oplysninger Krypterede oplysninger Almindelige personoplysninger Følsomme personoplysninger Race og etnisk oprindelse Politiske holdninger Religiøs og filosofisk opfattelse Fagforeningsmæssigt tilhørsforhold Genetisk data Biometrisk data Helbredsoplysninger Seksualitet og seksuel orientering Oversigt over typer af oplysninger Behandling Dataansvarlig Databehandler Samtykke Databeskyttelsesrådgiver (Data Protection Officer/DPO) Databeskyttelsesrådet Profilering Brud på persondatasikkerheden Grundlæggende behandlingsregler og principper Grundlæggende principper Ansvarlighed hvis ansvar? Lovlighed, rimelighed og gennemsigtighed Formålsbegrænsning Behandling ud over det oprindeligt fastlagte formål Tilstrækkelige, relevante og begrænset til det nødvendige (dataminimering) Korrekthed og ajourføring (datakvalitet/ rigtighed ) Opbevaringstid Tjekliste grundlæggende behandlingsprincipper Hjemmelskrav Samtykke Allerede indhentede samtykker Børns samtykke Opfyldelse af kontrakt Retlig forpligtelse Vitale interesser Opgaver i samfundets interesse/offentligt pålagte opgaver Interesseafvejning Særligt om CPR-numre Følsomme oplysninger Udtrykkeligt samtykke Opfyldelse af forpligtelser/rettigheder på arbejds-, sundheds-, og socialområdet Vitale interesser 64 8

3 Indholdsfortegnelse Almennyttige organisationers behandling Egne offentliggjorte oplysninger Retskrav Væsentlige samfundsinteresser Forebyggende medicin, social sikring mv Samfundsinteresser vedrørende folkesundhed Arkivering, forskning og statistiske formål Særligt om genetiske og biometriske personoplysninger og helbredsoplysninger Oplysninger om straffedomme og lovovertrædelser Tjekliste vedrørende behandlingshjemmel Den registreredes rettigheder Indledning Generelle krav Formkrav Identifikation af den registrerede Klagevejledning Frist Intet vederlag Oplysningspligt Orienteringens indhold Oversigt over oplysningspligt Brug af ikoner mv Undtagelser fra oplysningspligten Indsigtsret Berigtigelse Ret til sletning ( retten til at blive glemt ) Ret til sletning/pligt til sletning Betingelser Den dataansvarlige har offentliggjort oplysningerne Undtagelser Ret til at tilbagekalde samtykke Ret til at begrænse behandlingen Dataportabilitet Ret til menneskelig indgriben automatiske individuelle afgørelser Ret til indsigelse Indsigelse Indsigelse mod brug til direkte markedsføring Orientering om indsigelsesmulighed Klage til tilsynsmyndigheden Dokumentationskrav Indledning Generelle dokumentationskrav Databehandlere Overholdelse af Forordningen 88 9

4 Indholdsfortegnelse Passende politikker De registrerede rettigheder Kommunikation med de registrerede Privacy by design og privacy by default Fortegnelse over persondatabehandlinger Generelt Dataansvarlige Databehandlere Undtagelse Sikkerhed Risikovurdering og DPIA Sikkerhedsbrud Godkendte adfærdskodekser og certificeringer Databehandleraftaler Repræsentanter Persondatasikkerhed Reglerne i persondataloven Forordningen Risikovurdering Almindelig risikovurdering Ingen proceskrav Grundlaget for risikovurderingen Datatype Sammenhængen Formålet Mængden af data og registrerede Risikoen Sandsynligheden Data Protection Impact Assessment (DPIA) Hvornår skal der laves en DPIA? Revurdering af DPIA Hvem skal udføre DPIA en? Hvilket indhold skal DPIA en have? Høring af de registrerede Høring af Datatilsynet Passende sikkerhedsforanstaltninger Sikkerhedsstandarder Fysisk sikkerhed Teknisk sikkerhed Organisatorisk sikkerhed State of the art versus omkostninger Sikkerhedsbrud Brud på persondatasikkerheden Brud på persondatasikkerheden hos databehandlere Anmeldelse til tilsynsmyndighederne Orientering til den registrerede

5 Indholdsfortegnelse Oversigt over krav til anmeldelse/orientering ved brud på persondatasikkerheden Privacy by design og privacy by default Databehandlere Hvad er en databehandler? Den dataansvarliges ansvar Databehandlerens rolle og ansvar Databehandleraftaler Dokumentation og audits Behov for opdatering af eksisterende databehandleraftaler? Standardkontraktbestemmelser Underdatabehandlere Data Protection Officer Hvad er en DPO? Hvornår kræves en DPO? Offentlige myndigheder og offentligretlige organer Private virksomheder Ekstern DPO DPO ens rolle og beskyttelse DPO en opgaver Adfærdskodeks, certificering og databeskyttelsesmærkning Generelt Adfærdskodeks Certificering og databeskyttelsesmærkninger Håndhævelse og sanktioner Tilsynsmyndigheden One-stop shop Det Europæiske Databeskyttelsesråd Beføjelser Undersøgelsesbeføjelser Korrigerende beføjelser Godkendelses- og rådgivningsbeføjelser Bøder Oversigt over bødeniveau Særligt om Danmark Særligt om bøder til offentlige myndigheder Erstatningsansvar Værneting Anmeldelse og tilladelse Persondataloven Forordningen

6 Indholdsfortegnelse 14. Særlige behandlingssituationer Ytrings- og informationsfrihed; journalistisk, kunstnerisk, litterær eller akademisk behandling Aktindsigt Identifikationsnummer (personnummer, CPR-nummer) Tavshedspligt Ansættelsesforhold Arkivering, videnskabelig eller historisk forskning og statistik Kirker og religiøse sammenslutninger 145 SPECIEL DEL Overførsel af personoplysninger til tredjelande Reglerne i persondataloven Krigsreglen Særligt om overførsler til USA Reglerne i Forordningen Sikre tredjelande mv Usikre tredjelande Fornødne garantier uden godkendelse Retligt bindende instrumenter mellem offentlige myndigheder Binding Corporate Rules koncernoverførsler Standardbestemmelser (SCC) Adfærdskodeks og certificeringsordninger Fornødne garantier med godkendelse Ad hoc-aftaler Administrative ordninger Andre grundlag Samtykke Opfyldelse af kontrakt Vigtige samfundsinteresser Retskrav Vitale interesser Informationsregister Særlige tilfælde interesseafvejning National begrænsning Krav om udlevering fra tredjelande Oversigt over overførselsmuligheder under Forordningen Personoplysninger og virksomhedsoverdragelser Reglerne i persondataloven Overdragelse af aktier Overdragelse af aktiver Due diligence Reglerne i Forordningen Due diligence tjekliste

7 Indholdsfortegnelse Købsaftalen Øvrige forhold Personoplysninger og markedsføring Reglerne i persondataloven Øvrige relevante regler Cookie-bekendtgørelsen Reglerne i Forordningen Indsigelsesretten Videregivelse i markedsføringsøjemed Samtykkekravet Beskyttelsen af børn og unge Tjekliste Behandling af personoplysninger i ansættelsesforhold Indledning Ansættelsesretlig lovregulering Særregel for behandling af personoplysninger i ansættelsesforhold Samtykkebegrebet i relation til HR Anmeldelsespligt Persondataloven Forordningen Jobopslag Indhentning af oplysninger om jobansøgere Indsamling af oplysninger generelt Indhentelse af oplysninger om strafbare forhold Indhentelse af helbredsoplysninger Indhentelse af kreditoplysninger Opbevaring af oplysninger om ansøgeren efter afslag er givet Kontrol og overvågning af medarbejdere Kontrolforanstaltninger s Andre regelsæt end persondataloven Persondataloven Telefoner Straffeloven Persondataloven Internettet Forordningen i relation til s, telefon og internettet Tv-overvågning Persondataloven og tv-overvågningsloven Forordningen GPS/geotracking Bring your own device (BYOD) Whistleblower-ordninger Persondataloven Forordningen

8 Indholdsfortegnelse Medarbejderens rettigheder Opbevaring af personoplysninger efter ansættelsen Opbevaring af medarbejderoplysninger efter fratrædelsen Persondataloven Forordningen Særligt om fratrådte medarbejderes konto Outsourcing og it-drift Indledning Reglerne i persondataloven Reglerne i Forordningen Hvilke typer af kontrakter? Databehandleraftale Underdatabehandlere Sikkerhedskrav Overførsel til tredjelande Privacy by design og privacy by default De registreredes rettigheder mv Myndigheders krav om udlevering af personoplysninger Due diligence og virksomhedsoverdragelse Særregler Tjekliste ved indgåelse af it-outsourcing/driftsaftale Sociale medier Reglerne i persondataloven Reglerne i Forordningen Jurisdiktion Hvem er dataansvarlig? Samtykke Børns samtykke Direkte markedsføring Dataportabilitet Retten til at blive glemt Nye teknologier Indledning Cloud computing Hvad er cloud computing? Databehandleraftaler Underdatabehandlere Persondatasikkerhed Overførsler Big data Hvad er big data? Hvori ligger udfordringen? Personoplysningsbegrebet Anonymisering

9 Indholdsfortegnelse Formålskravet Sikkerhed Tjekliste i relation til big data Internet of Things Hvad er Internet of Things? De juridiske problemstillinger Gennemsigtighed Samtykke Nye formål Profilering Sikkerhed Droner Begrebet Persondatalovgivningen Proportionalitet Dataminimering Sikkerhed Anden lovgivning 232 PERSONDATAFORORDNINGEN 235 KAPITEL I: Generelle bestemmelser 299 Artikel 1: Genstand og formål 299 Artikel 2: Materielt anvendelsesområde 299 Artikel 3: Territorialt anvendelsesområde 300 Artikel 4: Definitioner 300 KAPITEL II: Principper 305 Artikel 5: Principper for behandling af personoplysninger 305 Artikel 6: Lovlig behandling 306 Artikel 7: Betingelser for samtykke 308 Artikel 8: Betingelser for et barns samtykke i forbindelse med informationssamfundstjenester 308 Artikel 9: Behandling af særlige kategorier af personoplysninger 309 Artikel 10: Behandling af personoplysninger vedrørende straffedomme og lovovertrædelser 311 Artikel 11: Behandling, der ikke kræver identifikation 311 KAPITEL III: Den registreredes rettigheder 312 Afdeling 1: Gennemsigtighed og nærmere regler 312 Artikel 12: Gennemsigtig oplysning, meddelelser og nærmere regler for udøvelsen af den registreredes rettigheder 312 Afdeling 2: Oplysning og indsigt i personoplysninger 313 Artikel 13: Oplysningspligt ved indsamling af personoplysninger hos den registrerede 313 Artikel 14: Oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede 315 Artikel 15: Den registreredes indsigtsret 317 Afdeling 3: Berigtigelse og sletning 318 Artikel 16: Ret til berigtigelse 318 Artikel 17: Ret til sletning (»retten til at blive glemt«)

10 Indholdsfortegnelse Artikel 18: Ret til begrænsning af behandling 320 Artikel 19: Underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling 321 Artikel 20: Ret til dataportabilitet 321 Afdeling 4: Ret til indsigelse og automatiske individuelle afgørelser 322 Artikel 21: Ret til indsigelse 322 Artikel 22: Automatiske individuelle afgørelser, herunder profilering 323 Afdeling 5: Begrænsninger 323 Artikel 23: Begrænsninger 323 KAPITEL IV: Dataansvarlig og databehandler 325 Afdeling 1: Generelle forpligtelser 325 Artikel 24: Den dataansvarliges ansvar 325 Artikel 25: Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger 325 Artikel 26: Fælles dataansvarlige 326 Artikel 27: Repræsentanter for dataansvarlige og databehandlere, der ikke er etableret i Unionen 327 Artikel 28: Databehandler 327 Artikel 29: Behandling, der udføres for den dataansvarlige eller databehandleren 330 Artikel 30: Fortegnelser over behandlingsaktiviteter 330 Artikel 31: Samarbejde med tilsynsmyndigheden 332 Afdeling 2: Personoplysningssikkerhed 332 Artikel 32: Behandlingssikkerhed 332 Artikel 33: Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden 333 Artikel 34: Underretning om brud på persondatasikkerheden til den registrerede 334 Afdeling 3: Konsekvensanalyse vedrørende databeskyttelse og forudgående høring 335 Artikel 35: Konsekvensanalyse vedrørende databeskyttelse 335 Artikel 36: Forudgående høring 337 Afdeling 4: Databeskyttelsesrådgiver 338 Artikel 37: Udpegelse af en databeskyttelsesrådgiver 338 Artikel 38: Databeskyttelsesrådgiverens stilling 339 Artikel 39: Databeskyttelsesrådgiverens opgaver 340 Afdeling 5: Adfærdskodekser og certificering 341 Artikel 40: Adfærdskodekser 341 Artikel 41: Kontrol af godkendte adfærdskodekser 343 Artikel 42: Certificering 344 Artikel 43: Certificeringsorganer 346 KAPITEL V: Overførsler af personoplysninger til tredjelande eller internationale organisationer 348 Artikel 44: Generelt princip for overførsler 348 Artikel 45: Overførsler baseret på en afgørelse om tilstrækkeligheden af beskyttelsesniveauet 348 Artikel 46: Overførsler omfattet af fornødne garantier 350 Artikel 47: Bindende virksomhedsregler

11 Indholdsfortegnelse Artikel 48: Overførsel eller videregivelse uden hjemmel i EU-retten 354 Artikel 49: Undtagelser i særlige situationer 354 Artikel 50: Internationalt samarbejde om beskyttelse af personoplysninger 356 KAPITEL VI: Uafhængige tilsynsmyndigheder 357 Afdeling 1: Uafhængig status 357 Artikel 51: Tilsynsmyndighed 357 Artikel 52: Uafhængighed 357 Artikel 53: Generelle betingelser for medlemmer af en tilsynsmyndighed 358 Artikel 54: Regler om oprettelse af en tilsynsmyndighed 358 Afdeling 2: Kom petence, opgaver og beføjelser 359 Artikel 55: Kompetence 359 Artikel 56: Den ledende tilsynsmyndigheds kompetence 360 Artikel 57: Opgaver 361 Artikel 58: Beføjelser 363 Artikel 59: Aktivitetsrapport 365 KAPITEL VII: Samarbejde og sammenhæng 366 Afdeling 1: Samarbejde 366 Artikel 60: Samarbejde mellem den ledende tilsynsmyndighed og de andre berørte tilsynsmyndigheder 366 Artikel 61: Gensidig bistand 368 Artikel 62: Tilsynsmyndigheders fælles aktiviteter 369 Afdeling 2: Sammenhæng 371 Artikel 63: Sammenhængsmekanisme 371 Artikel 64: Udtalelse fra Databeskyttelsesrådet 371 Artikel 65: Tvistbilæggelse ved Databeskyttelsesrådet 373 Artikel 66: Hasteprocedure 374 Artikel 67: Udveksling af oplysninger 375 Afdeling 3: Det Europæiske Databeskyttelsesråd 375 Artikel 68: Det Europæiske Databeskyttelsesråd 375 Artikel 69: Uafhængighed 376 Artikel 70: Databeskyttelsesrådets opgaver 376 Artikel 71: Rapporter 379 Artikel 72: Procedure 379 Artikel 73: Formand 380 Artikel 74: Formandens opgaver 380 Artikel 75: Sekretariat 380 Artikel 76: Fortrolighed 381 KAPITEL VIII: Retsmidler, ansvar og sanktioner 381 Artikel 77: Ret til at indgive klage til en tilsynsmyndighed 381 Artikel 78: Adgang til effektive retsmidler over for en tilsynsmyndighed 382 Artikel 79: Adgang til effektive retsmidler over for en dataansvarlig eller databehandler 382 Artikel 80: Repræsentation af registrerede 383 Artikel 81: Udsættelse af en sag 383 Artikel 82: Ret til erstatning og erstatningsansvar 384 Artikel 83: Generelle betingelser for pålæggelse af administrative bøder 385 Artikel 84: Sanktioner

12 Indholdsfortegnelse KAPITEL IX: Bestemmelser vedrørende specifikke behandlingssituationer 388 Artikel 85: Behandling og ytrings- og informationsfriheden 388 Artikel 86: Behandling og aktindsigt i officielle dokumenter 388 Artikel 87: Behandling af nationalt identifikationsnummer 388 Artikel 88: Behandling i forbindelse med ansættelsesforhold 389 Artikel 89: Garantier og undtagelser i forbindelse med behandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål 389 Artikel 90: Tavshedspligt 390 Artikel 91: Kirkers og religiøse sammenslutningers eksisterende databeskyttelsesregler 391 KAPITEL X: Delegerede retsakter og gennemførelsesforanstaltninger 391 Artikel 92: Udøvelse af de delegerede beføjelser 391 Artikel 93: Udvalgsprocedure 392 KAPITEL XI: Afsluttende bestemmelser 392 Artikel 94: Ophævelse af direktiv 95/46/EF 392 Artikel 95: Forhold til direktiv 2002/58/EF 392 Artikel 96: Forhold til tidligere indgåede aftaler 392 Artikel 97: Kommissionsrapporter 393 Artikel 98: Gennemgang af andre EU-retsakter om databeskyttelse 393 Artikel 99: Ikrafttræden og anvendelse 393 Stikordsregister