Persondataloven i en Smart City kontekst. Alexander Tureczek, Ph.d. candidate

Transkript

1 Persondataloven i en Smart City kontekst Alexander Tureczek, Ph.d. candidate atur@dtu.dk

2 Indholdsfortegnelse Persondataloven historie og hensigt Opdeling af loven Vigtige paragrafer Fremtiden

3 Intentionen bag loven At laven en lov som kan give en reguleret brug af persondata og rettigheder til datasubjekt. Bygger på EU direktiv af Vedtaget og implementeret i dansk ret i En fortolkningslov, dvs. Der er masser af gråzoner Der sker konstant ændringer i dataopsamling så loven er under pres. Datatilsynet føre tilsyn med loven. # 83

4 Inddeling af loven I: Indledende bestemmelser II: Behandlingsregler III: Registreredes rettigheder IV: Sikkerhed V: Anmeldelse VI: Tilsyn

5 I Indledende bestemmelser kapitel 1 Afgrænsning, 1-2 Definer loven: Alt information som indsamles helt eller delvist elektronisk eller til arkivering. Særlige undtagelser for Folketing, PET, og lignende. ( 2) Særlige paragrafer: 1: Hvad loven omhandler 2: Lex superior & lex specialis 2, stk 3: loven gælder ikke i rent privat karakter (tlfbog, digital dagbog osv. ) Loven er særlig gunstig for anvendelse af data til journalistisk, videnskabeligt eller kunsterisk brug.

6 I Indledende bestemmelser kapitel 2 Definitioner, 3 Definitioner af: Personoplysninger Behandling Register med personoplysninger Dataansvarlig Databehandler Tredjemand Modtager Registreredes samtykke Tredjeland

7 I Indledende bestemmelser kapitel 3, 4 Hvor loven gælder: I Danmark og når dansk data behandles i tredjeland, eller af firmaer som behandler data i Danmark.

8 II Behandlingsregler Kapitel 4, 5 Oplysninger skal behandles i overensstemmelse med god databehandlingsskik. Indsamling må kun ske efter udtrykkeligt angivne og saglige formål. Data må ALDRIG bruges til andet. Senere brug af data til historisk, statistisk eller videnskabeligt øjemed er ikke uforeneligt formål.

9 II Behandlingsregler Kapitel 4, 6 Behandling af oplysninger må ske hvis: 1. Udtrykkeligt samtykke er givet 2. Hvis den er nødvendig af hensyn til opfyldelse af aftale med data subjektet. 3. Nødvendig for at overholde retlige forpligtelser. 4. Nødvendig for at beskytte den registreredes rettigheder. 5. Behandling er nødvendig af hensyn til udførelse af opgave i samfundets interesse 6. Behandling udføres af tredjemand som har fået dette pålagt af en offentlig instans 7. Dataansvarlig kan forfølge en berettigt interesse og hensynet til den registrerede ikke overstiger denne interesse.

10 II Behandlingsregler Kapitel 4, 7 Der må ikke behandles oplysninger om: Racemæssig eller etnisk baggrund, politisk, religiøst eller filosofisk overbevisning, fagforeningstilhørsforhold, helbredsmæssige eller seksuel overbevisning. Der er undtagelser! Resten af kapitel 4 handler om offentlig databehandling, markedsføring og telefonregisterering.

11 III Registreredes rettigheder Kapitel 8, 28 Oplysningspligt: Ved indsamling skal registrerede bl.a. meddeles følgende: Dataansvarligs identitet Formål og behandling Om reglerne for indsigt i og om berigtigelsen af oplysningerne. REGISTREREDE SKAL ALTID OPLYSES OM ÆNDRING I FORMÅL

12 III Registreredes rettigheder Kapitel 9, 31 Indsigtsret Hvilke oplysninger behandles Behandlingens formål Kategorierne af modtagere af oplysningerne Tilgængelig information om hvor disse stammer fra 4 uger til at besvare en begæring

13 III Registreredes rettigheder Kapitel 10, Ret til indsigelse ( 35) Dataansvarlig er første instans for vurdering om indsigelsen er gyldig. Indsigelse er svær at få igennem. Dernæst datatilsynet Tilbagekald af samtykke ( 38)

14 IV Sikkerhed Kapitel 11, 41 Behandlingssikerhed Data må kun behandles efter instruks fra dataansvarlig Dataansvarlig skal træffe fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod: Hændelig/ulovlig tilintetgørelse af data. Fortabes/forringes Kommer til uvedkommendes kendskab Misbruges Behandles ulovligt Dataansvarlig skal sikre sig ovenstående hvis behandling overlades til tredjemand.

15 V Anmeldelse Kapitel 13, Inden data må behandles skal dette anmeldes til datatilsynet med mindre Behandling: Behandling omfatter oplysninger om ansatte Ansattes helbredsforhold Registrering er nødvendig af overenskomst eller kollektiv aftale. Kundeoplysninger, leverandør eller lignende, og 7 ikke overtrædes. Markedsundersøgelser Forening og lignende kun om medlemmer. Foretages af advokater i forbindelse med deres virke. Sundhedspersonale bedriftsundhedstjeneste.

16 VI Anmeldelse Kapitel 13 & 18 Bestemmelser og beskrivelser af datatilsynet. Erstatningsansvar

17 Fremtiden EU-forordning om persondatabeskyttelse En "forordning" er en bindende retsakt. Det skal følges i alle enkeltheder i hele EU. Forventes vedtaget i EU i Ikke endeligt forhandlet på plads, men forhandling forventes afsluttet i års implementeringsperiode Endeligt for persondataloven!

18 Fremtiden, forventninger 1: Strengere styring og behandling af persondata. Gennemsigtighed Dokumentation Datasubjektets egen kontrol Anmeldelsesordningen afskaffes.

19 Fremtiden, forventninger 2: Overordnede principper beholdes: Lovlig og loyal behandling Formålet skal være specifikt og explicit Data skal være præcise og ajour Data må ikke være mere omfattende end nødvendigt. Data må kun opbevares så længe de er nødvendigt Dataansvarlig er ansvarlig for behandling

20 Fremtiden, forventninger 3: Eksisterende rettigheder: Orienteringspligt Indsigtsret Ret til berigtigelse Indsigelsesret (bliver strammere for markedsføring) Nye rettigheder: Retten til at blive glemt, (aktualitet og ytringsfrihed) Dataportabilitet (Facebook act.) Fravalg af automatisk behandling / profilering Måske noget om samtykke under tvang. Dokumentation som viser overholdelse af forordning MEGET store erstatningskrav.

21 Referencer: Persondataloven med fortolkning Datatilsynets vejledning. Slide deck seminar om EU-forordning om persondata, Advokat Nis Peter Dall Twobirds.com Persondataloven en vejledning for IT-folk, Steffen Stripp, Prosa EU Persondataforordningen generel introduktion, BDO EU Persondataforordningen Væsentlige ændringer, BDO EU Persondataforordningen Databeskyttelsesansvarlig, BDO EU Persondataforordningen Forberedelse og proces, BDO 2015.