Persondataforordningen og offentlige organisationer

Transkript

1 Persondataforordningen og offentlige organisationer Nis Peter Dall, advokat, partner BvHD Gladsaxe, den 30. oktober Forordning, ikke et direktiv 2 1

2 Forordning, ikke direktiv Hvad betyder det, at der er tale om en forordning? Forordning EU-lovgivning som gælder direkte i alle EU lande Svarer til en fælles EU- lov Direktiv EU-lovgivning som giver retningslinier for love, der skal gennemføres i de enkelte EU-lande 3 Forordning, ikke direktiv Fordel: Ensartethed Mere righoldig praksis Ulempe: Mere rigidt Ikke umiddelbart plads til særlige danske behov Ikke mulighed for samme indflydelse, som offentlige myndigheder i Danmark er vant til Praksis er fra hele EU 4 2

3 Behandlingsmæssige ændringer 5 Samtykke Udvidet definition: Frivillig, specifik, informeret og udtrykkelig viljestilkendegivelse Stiltiende eller passivt samtykke er ikke gyldigt Dataansvarlige skal kunne dokumentere samtykket Samtykke kan ikke anvendes som hjemmel ved klar skævhed mellem subjekt og ansvarlig Særligt hvor der er et afhængighedsforhold Hvad med forhold mellem borger og myndighed? Skævhed hvor offentlige kan pålægge en forpligtelse (betragtning 34) Men hvad hvis borgeren ikke kan opnå en rettighed? Tilbagekaldelse af samtykke skal kunne ske uden skadevirkning for registrerede Hvordan håndteres processuel skadesvirkning? 6 3

4 Interesseafvejning Den kendte interesseafvejningsregel kan ikke anvendes af offentlige myndigheder Interesseafvejningsregel: behandling kan foretages hvis den ansvarliges interesse i behandling er større end data subjektets interesse i at behandling ikke foretages Anvendes i dag i en række situationer af offentlige myndigheder. Særligt hvor myndigheden handler som arbejdsgiver Forudsættes at myndigheder skal have lovhjemmel til behandling. (Legalitetsprincippet) Men ikke i overensstemmelse med dansk praksis 7 Transparens Dokumentationskrav For hver type af databehandling: Skal indeholde bl.a.: Navn og adresse på ansvarlig og DPO Formål og hjemmel for behandling Kategorier af data subjekter og data typer Tidsgrænser hvornår slettes data Politikker For: Behandlingen af persondata Håndtering af data subjekternes rettigheder, fx. indsigt Skal være: Let tilgængelige og let forståelige Procedurer For håndtering af data subjekternes rettigheder, fx. indsigt 8 4

5 Tekniske krav 9 Sikkerhedskrav Passende tekniske og organisatoriske foranstaltninger og procedurer kræves Beskytte mod tilintetgørelse, tab og ulovlig behandling Risiko, datatyper og omkostninger tages i betragtning Der skal altid foretages en risikovurdering Ingen ny sikkerhedsbekendtgørelse endnu Men Kommissionen har beføjelse til at udarbejde en sådan 10 5

6 Privacy by design Systemer (herunder IT-systemer) skal bygges med sikkerhed og overholdelse af forordningen i mente Kun nødvendige data må indsamles og behandles Data må kun gemmes i den nødvendige tid Data må kun være tilgængelige for dem, der har behov for dem Tekniske standarder må forventes Skal nødvendigvis have sammenhæng med ny sikkerhedsbekendtgørelse 11 Data portabilitet Data subjekter har ret til kopi af egne data Forudsat: data behandles elektronisk, og er lagret i et almindeligt dataformat Data skal udleveres i almindeligt anvendt format Data subjektet må overføre data til andet databehandlingssystem Hvis data er udleveret på baggrund af samtykke eller kontrakt Den dataansvarlige må ikke hindre sådan overførsel Kommissionen kan definere formater og standarder 12 6

7 DPO Offentlige myndigheder skal udpege en DPO Data Protection Officer Flere myndigheder kan dele DPO Opgaver Involveres i alle spørgsmål vedr. behandling af persondata Forbindelsesled til: Persondatamyndigheder Data subjekter Sikre overholdelse af lovgivningen Kan have andre opgaver Skal være uafhængig Refererer til ledelsen Udnævnes for to-årige perioder Beskyttet mod afskedigelse 13 Orienteringspligt Underrette datamyndigheden Uden ugrundet ophold og inden 24 timer efter brud Overskridelse af fristen kræver særlig begrundelse Underretning skal indeholde: Beskrivelse af bruddet og konsekvenser Anbefaling til begrænsning af skaden Beskrivelse af hvad der allerede er gjort Underrette data subjekter Uden ugrundet ophold (dog efter underretning af datamyndigheden) Hvis der er risiko for skade eller andre negative konsekvenser Skal beskrive bruddet Anbefaling til begrænsning af skaden Angive hvordan myndighedens DPO kan kontaktes 14 7

8 Sanktioner 15 Bøder Meget højt bødeniveau Eksempler på maksimumsbøder (for ikke-virksomheder) Op til Forsinket besvarelse af fx. indsigtshenvendelser Krav om gebyr for besvarelse af fx. indsigtshenvendelser Op til Behandlingspolitikker ikke let tilgængelige Manglende dokumentation ift. behandling Op til Behandling af følsomme data uden lovlig hjemmel Manglende orientering om sikkerhedsbrud Manglende udpegning af DPO Bøder skal: Være effektive og virke afskrækkende, men også være rimelige ift. overtrædelsen Det offentlige Danmark er kun vant til påbud og henstillinger 16 8

9 HUSK! 17 Persondataforordningen Stadig blot forslag Ikrafttrædelsestidspunkt ikke kendt endnu Bud på vedtagelsestidspunkt varierer fra Varsel på 2 år Anvendelse påbegynder to år efter offentliggørelse af endelig udgave Den gældende Persondatalov finder anvendelse indtil da 18 9

10 Kontaktoplysninger BvHD - Nyhedsbrev Nis Peter Dall Telefon: Direkte telefon: Mobil: [email protected] 19 10