INTRODUKTION TIL PERSONDATAFORORDNINGEN

Transkript

1 INTRODUKTION TIL PERSONDATAFORORDNINGEN 31. maj maj

2 25. MAJ 2018 PERSONDATAFORORDNINGEN Finder anvendelse fra den 25. maj 2018 Højere beskyttelsesniveau og større kontrolmuligheder for EU-borgere Digitalt indre marked Direkte virkning i medlemsstaterne Intet rum for nationale særregler (med modifikationer ) Databeskyttelsesrådet maj

3 BEGREBER I PERSONDATARETTEN (PDF: Art. 4) Behandling Enhver aktivitet eller række af aktiviteter Eksempelvis: indsamling, registrering, brug, videregivelse, opbevaring, formidling, samkøring, sletning, systematisering og ændring. Dataansvarlig Den fysiske eller juridiske person, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger Databehandler Den fysiske eller juridiske person, der behandler oplysninger på den dataansvarliges vegne efter instruks maj

4 Hvad er persondata? Artikel 4 Personoplysninger omfatter enhver form for information om en identificeret eller identificerbar fysisk person, herunder elementer der er særlige for en persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet maj

5 25. MAJ 2018 OVERSIGT TYPER AF PERSONOPLYSNINGER I PERSONDATAFORORDNINGEN Følsomme data art. 9 Racemæssige eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforening, helbredsmæssige og seksuelle forhold, genetiske og biometriske data Andre følsomme data art. 10 Strafbare forhold, lovovertrædelser CPR-nummer art. 87 (beh. af nationalt ID) CPR-nummer Alm. oplysn. art. 6 Væsentlige sociale problemer, andre rent private forhold, fx selvmordsforsøg, personlighedstest, bortvisning fra jobbet, førtidspension, økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold, bolig, bil, eksamen, ansøgning, CV, ansættelsesdato, stilling, arbejdsområde, arbejdstelefon, stamoplysninger: navn, adresse, fødselsdato maj

6 Hvilke data behandles (primært) af jer?

7 NU OG EFTER GRUNDLÆGGENDE REGLER - 5/art. 5 Ansatte Kunder Fjernvarme selskab Samarbejdspartnere maj

8 Behandlingstilgang hvordan behandles oplysninger? God databehandlingsskik Behandlingshjemmel Øvrige regler maj

9 NU OG EFTER GRUNDLÆGGENDE REGLER - 5/art. 5 Oplysningerne skal behandles i overensstemmelse med god databehandlingsskik Saglige formål med indsamlingen af oplysninger (udtrykkeligt angivne og legitime formål) Lovlighed, rimelighed og gennemsigtighed Relevante og tilstrækkelige oplysninger (dataminimering) Proportionalitet mellem formålet med og behandlingen af oplysninger (formålsbegrænsning) Løbende ajourføring og korrigering af oplysningerne (rigtighed) Opbevaring må kun finde sted i det tidsrum, der er nødvendigt af hensyn til formålet (opbevaringsbegrænsning) Sikre tilstrækkelig sikkerhed og beskyttelse mod uautoriseret eller ulovlig behandling, hændeligt tab, tilintetgørelse eller beskadigelse (integritet og fortrolighed) maj

10 NU OG EFTER BEHANDLINGSREGLER FOR ALMINDELIGE OPLYSNINGER 6/art. 6 Behandling er tilladt, hvis udtrykkeligt samtykke (frivilligt, specifikt, informeret og utvetydigt) eller nødvendigt for at opfylde en aftale, som den registrerede er part i, eller overholde en retlig forpligtelse, eller beskytte den registreredes vitale interesser, eller udføre en opgave i samfundets interesse, eller udføre en opgave under offentlig myndighedsudøvelse, eller forfølge berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse (gælder ikke offentlige myndigheder) Konkret interesseafvejning maj

11 NU OG EFTER 25. MAJ 2018 BEHANDLINGSREGLER FOR FØLSOMME OPLYSNINGER 7/art. 9 Udgangspunktet: Forbudt Hovedregel: Krav om udtrykkeligt samtykke til et eller flere formål Relevante undtagelser - hvis det er nødvendigt for: at retskrav kan fastlægges, gøres gældende eller forsvares beskyttelse af den registreredes og/eller andres vitale interesser, hvor den pågældende fysiske eller juridiske person ikke er i stand til at give samtykke. offentlig myndighedsudøvelse mv. at et retskrav kan fastlægges, gøres gældende eller forsvares. Eller oplysningerne tydeligvis er offentliggjort af den registrerede (Sociale medier) maj

12 Dataejer, dataansvarlig eller databehandler?

13 Hvem ejer persondataoplysningerne? Ejer af persondata: Den registrerede En fysisk person ikke selskaber eller andre juridiske personer Enkeltmandsejet selskaber? Kun den registrerede kan disponere over oplysningerne Kun den registrerede kan give samtykke til behandling af sine oplysninger Undtagelse: lovhjemmel maj

14 Hvem er dataansvarlig/databehandler? Dataansvarlig Den, der afgør juridisk/faktisk, hvordan personoplysninger skal behandles (hvem har ejerskabet til oplysningerne) Hvem har dispositionsretten (ikke det samme som ejendomsret) Hvem beslutter, om oplysningen kan videregives Databehandler Kendetegnet ved kun at behandle personoplysninger på vegne af (efter instruks fra) en dataansvarlig. Behandler aldrig personoplysninger til egne formål, og må ikke bruge oplysninger til andet end udførelsen af opgaven for den dataansvarlige. Eks.: En virksomhed, som varetager opgaver for en anden virksomhed, f.eks. ITsystemer, eller er underleverandør til den dataansvarlige af leverancer maj

15 Ansattes personoplysninger

16 Identifikation af persondatabehandling: Persondata i ansættelsesforhold: 1. Personaleadministration og anmeldelse heraf 2. GPS-overvågning af medarbejdere 3. Videoovervågning af medarbejdere 4. Internet- og overvågning 5. Kontrolforanstaltninger 6. Overførsel af bl.a. lønoplysninger til lønadministrator 7. Cloud-løsninger 8. Koncernintern deling af oplysninger på medarbejdere maj

17 Problemstillinger - ansættelsesprocessen: Persondata i ansættelsesforhold: Hvad må man? Straffeattester (potentielle medarbejdere til særligt betroet stilling) Kreditoplysninger (potentielle medarbejdere til særligt betroet stilling) Facebook (FOU nr åben profil/mange venner => offentligt) Google-søgning Personlighedstest Referencer (mundtlige eller elektronisk/register - behandling?) maj

18 Problemstillinger - ansættelsesprocessen: Persondata i ansættelsesforhold: Særlige ansættelsesretlige begrænsninger: Forskelsbehandlingslovens 4: (forbud mod ved ansættelse at indhente oplysninger om religion, etnisk oprindelse m.v. ) alder og handicap ikke nævnt Ligebehandlingslovens 2, 4 og 14 (spørgsmål til graviditet m.v.) Helbredsoplysningslovens 2 og 6 samt funktionærlovens 5 Ansøger har kun oplysningspligt, hvis væsentlig betydning (HOL 2) Pligt til at oplyse om sygdomme af væsentlig betydning (HOL 6/FUL 5) (fx dårlig ryg og anden væsentlig lidelse men ikke fx alkoholmisbrug eller andre misbrug af nydelsesmidler - ej omfattet af begrebet helbredsoplysninger ) maj

19 Problemstillinger under ansættelsen: Persondata i ansættelsesforhold: Kontrol af medarbejderens brug af internet og s => omfattet af PDF Arbejdsgiveren kan foretage logning, sikkerhedskopiering og gennemgang, hvis berettiget interesse (fx drift, sikkerhed, fejlretning, tab af kunder og omsætning ved sygdom og fratræden, misbrug, overtrædelser m.v.) klar og utvetydig information (fx gennem - og internetpolitik) maj

20 Problemstillinger under ansættelsen: Persondata i ansættelsesforhold: Kontrol af medarbejderne via GPS => omfattet af PDF Arbejdsgiveren kan foretage kontrol af de ansattes færden via GPS, hvis registrering og gennemgang er nødvendig, for at forfølge berettigede interesser, og hvis hensynet til de ansatte ikke overstiger disse interesser hvis installeret til vejvisning => må ikke bruges til overvågning Hvis installeret til kontrol => ok, men krav om information og arbejdsgiveren bør indstille kontrollen fx i weekenden medarbejderen på en klar og utvetydig måde er informeret om, at overvågningen finder sted, og eventuelt vil blive gennemset maj

21 Aftaler om forsyning

22 Aftaler om forsyning: Persondata i kunderelationer: 1. Kundeoplysninger: navn, adresse, , personnummer, måleroplysninger, restanceoplysninger, kreditoplysninger 2. Økonomiske oplysninger 3. Sociale oplysninger 4. Udarbejdelse af statistikker 5. App s 6. Markedsføring 7. Cookies Kræver samtykke eller anden behandlingshjemmel maj

23 Aftaler om forsyning: Persondata i kunderelationer: Målerdata: En almindelig personoplysning Kontrakten om levering af fjernvarme er hjemlen Hvor langt rækker denne hjemmel kan der ske udlevering til tredjemand? Kreditoplysninger En almindelig personoplysning Kontrakten om levering af fjernvarme er hjemlen Hvor langt rækker denne hjemmel kan der ske udlevering til tredjemand? maj

24 Aftaler om forsyning: Persondata i kunderelationer: CPR nr.: Private virksomheder må behandle cpr-oplysninger, når det følger af lov eller lovbestemmelser fastsat i henhold til lov (f.eks. indberetninger til SKAT) eller den registrerede har givet sit udtrykkelige samtykke Private virksomheder må videregive cpr-oplysninger, når videregivelsen er et naturligt led i den normale drift når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af den registrerede eller videregivelsen kræves af en offentlig myndighed maj

25 Aftaler om forsyning: Persondata i samarbejdsforhold: 1. Leverandører af fx IT-løsninger, lønadministration, HR-administration, cloudløsninger 2. Opkrævning af udestående, restancer m.v. 3. Udveksling af oplysninger med fx kommuner 4. Udveksling af oplysninger med koncerninterne selskaber Kræver indgåelse af databehandlingsaftale maj

26 Databehandleraftalen

27 Databehandleraftalen Databehandleren kan kun handle efter instruks fra den dataansvarlige. Der er krav om, at en sådan aftale og instruks iagttager en række bestemmelser, før aftalen er gyldig. Denne aftale kaldes for en databehandleraftale Databehandleren kan efter PDF ikke benytte sig af underdatabehandlere uden forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige maj

28 Databehandleraftalen Følgende forhold skal som minimum være reguleret i databehandleraftalen: Genstanden for behandlingen og typen af personoplysninger Varigheden af behandlingen Hvilken form for behandling, der skal foretages og til hvilket formål Hvilken kategorier af registrerede de behandlede personoplysninger vedrører Den dataansvarliges rettigheder og forpligtelser At databehandleren kun må behandle personoplysninger på baggrund af en dokumenteret instruks fra den dataansvarlige At personer hos databehandleren autoriseret til at behandle oplysningerne er underlagt fortrolighedsforpligtelse At databehandleren etablerer passende sikkerhedsforanstaltninger At databehandleren overholder betingelserne i persondataforordningen ved brug af underdatabehandlere maj

29 Databehandleraftalen Følgende forhold skal som minimum være reguleret i databehandleraftalen fortsat: At databehandleren bistår den dataansvarlige med at opfylde dennes forpligtelser overfor de registrerede At databehandleren bistår den dataansvarlige med at sikre dennes overholdelse af forpligtelserne i persondataforordningens art At databehandleren på den dataansvarliges anmodning og efter den dataansvarliges valg sletter elle returnerer de behandlede personoplysninger ved behandlingens ophør At databehandleren udleverer alle nødvendige informationer med henblik på, at den dataansvarlige kan dokumentere, at behandlingen hos databehandleren lever op til forpligtelserne i persondataforordningen, samt tillader og medvirker til kontrol og audits heraf. Herunder skal databehandleren være forpligtet til at informere den dataansvarlige, såfremt det er databehandlerens opfattelse, at en instruks er ulovlig maj

30 De registreredes rettigheder

31 REGISTREREDES RETTIGHEDER Oplysningspligt: art. 13, 14 Indsigtsretten: art. 15 Berigtigelse: art. 16 Sletning: art. 17 Begrænsning af behandling: art. 18 Underretningspligt: art. 19 Indsigelsesretten: art. 21, stk maj

32 REGISTREREDES RETTIGHEDER - oplysningspligten, art. 13 og 14 Følgende oplysninger skal den dataansvarlige give til den registrerede på tidspunktet for oplysningernes indsamling: 1. Identitet og kontaktoplysningerne på den dataansvarlige (eller repræsentant) 2. Kontaktoplysninger på en evt. DPO 3. Formålet med behandlingen, samt hjemmel 4. Den evt. legitime interesse, der forfølges, jf. art. 6, stk. 1, litra f 5. Eventuelle modtagere eller kategori af modtagere af oplysningerne 6. Påtænkte overførsler maj

33 REGISTREREDES RETTIGHEDER - oplysningspligten, art. 13 og 14 I det omfang det er nødvendigt for sikringen af gennemsigtigheden af behandlingen, tillige: 1. Opbevaringstiden eller kriterier for beregningen heraf 2. Den registreredes rettigheder 3. Retten til at trække et samtykke tilbage 4. Retten til at klage 5. Hjemmel samt konsekvenser ved ikke at afgive oplysningerne 6. Kilde til personoplysningerne (hvis ikke indsamlet hos den registrerede selv) 7. Automatiske afgørelser, herunder profilering 8. Meddelelse om evt. viderebehandling ud over det oprindelige formål maj

34 REGISTREREDES RETTIGHEDER - oplysningspligten, art. 13 og 14 Hvornår skal den dataansvarlige give oplysninger til den registrerede: På tidspunktet for indsamlingen, hvis indsamles hos den registrerede selv Indenfor rimelig frist efter indsamlingen af oplysninger (hvis indsamlet hos andre end den registrerede) men senest indenfor en måned under hensyn til de specifikke forhold, som oplysningerne er behandlet under Hvis oplysningerne skal bruges til at kommunikere med den registrerede, senest på tidspunktet for den første kommunikation med den registrerede Hvis oplysningerne er bestemt til videregivelse til en anden modtager, senest når oplysningerne videregives første gang maj

35 REGISTREREDES RETTIGHEDER - oplysningspligten, art. 13 og 14 Oplysningspligten gælder ikke, hvis den registrerede allerede er bekendt med oplysningerne. Hvis oplysningerne ikke er indsamlet hos den registrerede, gælder oplysningspligten ikke, hvis: 1. Meddelelse af sådanne oplysninger er umulig eller ville kræve en uforholdsmæssig stor indsats, (arkivformål, forskning), eller hvis meddelelse vil gøre det umuligt eller i alvorlig grad vil forhindre opfyldelsen af formålene med behandlingen af oplysningerne. 2. Indsamling og videregivelse udtrykkeligt er fastsat ved lov, som den dataansvarlige er underlagt, og som fremsætter passende foranstaltninger til beskyttelse af den registreredes rettigheder 3. Oplysningerne skal forblive fortrolige som følge af tavshedspligt i henhold til lovbestemt tavshedspligt maj

36 REGISTREREDES RETTIGHEDER - indsigtsretten, art. 15 Den registrerede har krav på følgende information: 1. Formålet med behandlingen 2. Berørte kategorier af personoplysninger 3. Modtager eller kategori af modtagere af oplysningerne 4. Om muligt det påtænkte tidsrum, hvor personoplysningerne vil blive opbevaret eller de kriterier, der anvendes til at fastlægge dette tidsrum 5. Retten til at anmode om berigtigelse, sletning, begrænsning af behandlingen af personoplysningerne eller gøre indsigelse mod behandlingen 6. Retten til at klage 7. Oplysninger om, hvorfra personoplysningerne stammer 8. Automatiske afgørelser, herunder profilering 9. Særlig indsigtsret ved overførelse til tredjelande maj

37 REGISTREREDES RETTIGHEDER - indsigtsretten, art. 15 Hvordan udleverer den dataansvarlige oplysningerne omfattet af indsigtsretten?: Den dataansvarlige skal udlevere en kopi af de personoplysninger, der behandles. For eventuelle yderligere kopier, den registrerede anmoder om, kan den dataansvarlige opkræve et rimeligt gebyr baseret på den administrative omkostninger. Hvis indsigtsretten anmodes om elektronisk, udleveres oplysningerne i en alm. anvendt elektronisk form, med mindre andet efterspørges. Den dataansvarliges efterlevelse af den registreredes ret til indsigt må ikke krænke andres rettigheder og frihedsrettigheder maj

38 REGISTREREDES RETTIGHEDER - registreredes rettigheder, art. 16 Der påhviler den dataansvarlige en pligt til at berigtige urigtige personoplysninger: Pligten indtræder uden unødig forsinkelse efter den registreredes henvendelse Under hensyntagen til formålet med behandlingen af personoplysningerne, har den registrerede derudover ret til at få fuldstændiggjort ufuldstændige personoplysninger ved bl.a. at fremlægge en supplerende erklæring til den dataansvarlige maj

39 REGISTREREDES RETTIGHEDER - retten til at blive glemt, art. 17 Den dataansvarlige har pligt til at slette personoplysninger om den registrerede, hvis: 1. Formålet med indsamlingen eller behandlingen af personoplysninger ikke længere er til stede 2. Samtykket tilbagekaldes, og der ikke er anden behandlingshjemmel 3. Den registrerede gør indsigelser, og den dataansvarlige ikke har tungvejende grunde til behandlingen (interesseafvejning) 4. Den registrerede gør indsigelser mod den dataansvarliges behandling medblik på direkte markedsføring 5. Behandlingen i øvrigt er ulovlig maj

40 REGISTREREDES RETTIGHEDER - retten til at blive glemt, art. 17 Pligten for den dataansvarlige til at slette personoplysninger har dog undtagelser, hvis: Behandlingen er nødvendig af hensyn til ytringsfriheden For at kunne udøve et retligt krav Hvis den dataansvarlige har offentliggjort data, skal han i forbindelse med pligten i art. 17: Tage alle rimelig skridt for at informere andre dataansvarlige om, at den registrerede ønsker, at alle links og kopier af de personlige oplysninger slettes maj

41 REGISTREREDES RETTIGHEDER - registreredes rettigheder,- begrænsninger, art. 18 Jeres kunder har ret til BEGRÆNSNING af jeres fremtidige behandling af deres persondata, blandt andet hvis: Nøjagtigheden af oplysningerne bestrides af den registrerede Behandlingen er ulovlig, men den registrerede modsætter sig sletningen af oplysningerne og anmoder om begrænset brug Formålet med behandlingen er opfyldt, men oplysningerne er nødvendige for at den registrerede kan fastlægge, gøre et retskrav gældende eller forsvare dette Den registrerede gør indsigelse mod behandlingen af oplysningerne med henblik på direkte markedsføring maj

42 REGISTREREDES RETTIGHEDER - registreredes rettigheder,- begrænsninger, art. 18 Behandlingen må KUN fortsætte, hvis Der alene er tale om ren opbevaring Den registrerede samtykker Det sker for at den dataansvarlige kan fastlægge, gøre et retskrav gældende eller forsvare dette maj

43 REGISTREREDES RETTIGHEDER - underretningspligt, art. 19 I skal sikre, at data slettes eller berigtiges hos andre modtagere (dataansvarlige og databehandlere), der har eksempelvis links, kopier eller gengivelser UT: Umuligt eller uforholdsmæssigt vanskeligt På kundens anmodning har I pligt til at informere kunden om ovenstående modtagere maj

44 REGISTREREDES RETTIGHEDER - indsigelsesretten, art. 21, stk. 1 Den dataansvarlig skal efter anmodning fra den registrerede til enhver tid stoppe behandlingen af den registreredes personoplysninger, hvis behandlingen er baseret på: Nødvendig af hensyn til samfundets interesse, eller Interesseafvejning Undtagelser: Den dataansvarlige kan påvise vægtige legitime grunde Behandlingen er nødvendig for at kunne fastlægge, gøre gældende eller forsvare et retskrav maj

45 KONSEKVENSER EFTER 25. MAJ 2018?

46 Konsekvenser ved overtrædelse art. 83 Sanktioner art. 83 Bødeniveau er afhængig af karakteren af overtrædelsen, mindre/større: Eksempler på mindre overtrædelser Bødeniveau Manglende samtykke fra børn/forældre Privacy by Design/Default Repræsentanter for dataansvarlige uden for EU Databehandler Mangelfuld instruks af databehandler Manglende samarbejde med datatilsyn Mangelfulde sikkerhedsforanstaltninger Manglende notifikationer Mangelfuld PIA Privacy Impact Assessment Manglende krav etc. til DPO Manglende certificering Off. Myndighed Op til EUR Privat virksomhed Det højeste af EUR % af årlig global omsætning maj

47 Konsekvenser ved overtrædelse art. 83 Sanktioner - fortsat Eksempler på større overtrædelser Bødeniveau Grundlæggende behandlingsprincipper Manglende grundlag for behandling Manglende samtykke Krænkelse af den registreredes rettigheder Manglende sikkerhedsforanstaltninger Off. myndighed Op til EUR Privat virksomhed Det højeste af EUR % af årlig global omsætning maj

48 Kontaktpersoner Pia Moltke Jensen Advokat Direkte tlf.: Mobil: maj