Klik for at tilføje en undertiteltitel Persondataforordningen Ved adv.fm. Kasper Hendrup Andersen
Persondataretten: Før og nu Data Protection Directive General Data Protection Regulation (GDPR) Lighed med kloning 31 forskellige nationale love National tilsyn alene fortolkning af national lov Article 29 Working Party One ring to rule them all Identisk EU lovgivning National tilsyn fortolkning af europæisk lovgivning European Data Protection Board SIDE 2
Motivation? Administrative bøder GDPR artikel 83, stk. 4: op til 10 000 000 EUR eller op til 2 % af dens samlede globale årlige omsætning. GDPR artikel 83, stk. 5: op til 20 000 000 EUR eller op til 4 % af dens samlede globale årlige omsætning. Betænkning nr. 1565/2017, side 925 Det må antages, at bestemmelsen vil betyde en væsentlig forøgelse af bødestørrelsen for overtrædelser af forordningens bestemmelser i forhold til, hvad overtrædelser af persondataloven i dag takseres til. SIDE 3
Motivation? (2) Lovforslag til kommende Persondataloven: Ret til erstatning ( 40) Fængsel op til 6 måneder eller bøde ( 41) Frakendelse af retten til at behandle personoplysninger ( 43) SIDE 4
GDPR Labyrinten Særlige regler, fx artikel 24 ff. Registreredes rettigheder (art. 12-23) Behandlingsgrundlaget (art. 6-10) Principperne (art. 5 & 32) Fortegnelse (art. 30) SIDE 5
SIDE 6 INTRODUKTION
Persondataforordningens anvendelsesområde? Materielle anvendelsesområde Persondataforordningens artikel 2, stk. 1: Denne forordning finder anvendelse på 1) behandling af 2) personoplysninger, der helt eller delvis foretages ved hjælp af 3) automatisk databehandling, og på anden 4) ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register. 4 trins test (art. 4, nr. 1): 1. Enhver information 2. Om 3. Identificeret eller identificerbar 4. Fysisk person SIDE 7
Persondataforordningens anvendelsesområde? (2) GDPR sondrer mellem forskellige typer af personoplysninger: Almindelige personoplysninger Følsomme personoplysninger (artikel 9) Øvrigt følsomme personoplysninger (artikel 10) Datatilsynets pjece om Persondataforordningens side 7, indeholder følgende oversigt: SIDE 8
Persondataforordningens anvendelsesområde? (3) Hvornår foretages der behandling af personoplysninger? Persondataforordningens artikel 4, nr. 2: enhver aktivitet eller række af aktiviteter med eller uden brug af automatisk behandling som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. Indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse. Hvornår foreligger der en elektronisk behandling? Enhver form for elektronisk behandling udført uden menneskelig indblanding. Ikkeautomatisk behandling? Persondataforordningens artikel 4, nr. 6: enhver struktureret samling af personoplysninger, der er tilgængelig efter bestemte kriterier, hvad enten denne samling er placeret centralt eller decentralt eller er fordelt på funktionsbestemt eller geografisk person Sagsmapper eller samlinger af sagsmapper samt deres forsider, som ikke er struktureret efter bestemte kriterier, bør ikke være omfattet af forordningen. (Persondataforordningens præambel nr. 15) SIDE 9
GDPR Labyrinten Fortegnelse Fortegnelse (art. 30) SIDE 10
Fortegnelse (Data mapping) Persondataforordningens art. 30 stiller krav om en fortegnelse: Internt forpligtelse Indholdsmæssige krav: Kontaktoplysninger på den dataansvarlige Formål Kategorier af registrerede og personoplysninger Modtagere af personoplysningerne Overførsler til tredjeland Slettefrister Tekniske- og organisatoriske foranstaltninger SIDE 11
Grundlæggende principper Principperne (art. 5 & 32) Fortegnelse (art. 30) SIDE 12
Grundlæggende principper Persondataforordningens artikel 5 samt 32 indeholder følgende databehandlingsprincipper: princippet om god databehandlingsskik, princippet om formålsbestemthed, finalitéprincippet, princippet om dataminimering, princippet om rigtighed, princippet om opbevaringsbegrænsning, princippet om behandlingssikkerhed. Hvornår skal principperne være efterlevet? forinden behandlingen kontinuerligt sikret under behandlingen Overtrædelse af ovennævnte principper medføre bøde udmålt efter det høje bødeniveau, dvs: op til 20 000 000 EUR eller op til 4 % af dens samlede globale årlige omsætning. SIDE 13
Princippet om databehandlersikkerhed Der skal implementeres tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger. Tekniske foranstaltninger: Procedure for udformningskrav og periodeskift for adgangskoder kontinuerligt, at opdatere henholdsvis firewall og antivirus Løbende sikker backup af personoplysningerne Organisatoriske foranstaltninger: Begrænset autoriseret personale Løbende afholdelse af kursuser for personale Clean Desk Policy Intern compliance kontrol SIDE 14
Behandlingsgrundlag Behandlingsgrundlaget (art. 6-10) Principperne (art. 5 & 32) Fortegnelse (art. 30) SIDE 15
Lovligt behandlingsgrundlag? Persondatalovens artikel 6, stk. 1 indeholder flere behandlingsgrundlag: Samtykke fra den registrerede (litra a) Nødvendigt af hensyn til opfyldelse af en kontrakt (litra b) Nødvendig for at overholde en retlig forpligtelse (litra c) Beskyttelse af den registreredes eller en anden fysisk persons vitale interesser (litra d) Hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse (litra e) Forfølge en legitim interesse (litra f) Såfremt der ikke er et lovligt behandlingsgrundlag udmåles bøden efter det høje bødeniveau. SIDE 16
Samtykke Indhentelse af samtykke fra den registrerede (art. 6, litra a) Definitionen på et samtykke stiller følgende krav (art. 4, nr. 11): Frivilligt Specifikt Informeret, fx trække samtykke tilbage (art. 7, stk. 3) Utvetydigt Skriftlig i en letforståelig og lettilgængelig form og i et klart og enkelt sprog (art. 7, stk. 2) Udtrykkeligt, hvis følsomme oplysninger (art. 9, stk. 2, litra a) Den dataansvarlige har bevisbyrden for, at samtykket er givet (art. 7, stk. 1) Hvis det ikke kan bevises udmåles bøden efter det høje bødeniveau. OBS: Databeskyttelseslovens 7, stk. 3: Undtaget, hvis nødvendigt med henblik på sygdomsbekæmpelse, medicinsk diagnose, sygepleje eller patientbehandling, eller forvaltning af læge- og sundhedstjenesterne. Krav: 1) behandlingen foretages af en person indenfor sundhedssektoren samt 2) er underlagt en tavshedspligt efter lovgivning. SIDE 17
De registreredes rettigheder Registreredes rettigheder (art. 12-23) Behandlingsgrundlaget (art. 6-10) Principperne (art. 5 & 32) Fortegnelse (art. 30) SIDE 18
Underretningspligten Den dataansvarlige skal underrette den registrerede om adskille forhold ved indsamlingen. Indsamling direkte hos den registrerede Den dataansvarlige Den registrerede Persondataforordningens artikel 13 Senest ved indsamlingen Omfattende krav til indholdet Præambel nr. 63: Enhver registreret bør derfor have ret til at kende og blive underrettet om navnlig de formål, hvortil personoplysningerne behandles, om muligt perioden, hvor personoplysningerne behandles, modtagerne af personoplysningerne, logikken der ligger bag en automatisk behandling af personoplysninger, og om konsekvenserne af sådan behandling, i hvert fald når den er baseret på profilering. Såfremt underretningspligten tilsidesættes vil bødeniveauet blive udmålt efter det høje bødeniveau. SIDE 19
De registreredes rettigheder Persondataforordningen kapitel 3 indeholder de registreredes rettigheder: Ret til indsigt (art. 15), Persondataforordningens præambel nr. 63: Indsigt i de indsamlede personoplysninger om deres helbredsoplysninger, fx deres lægejournaler, om diagnoser, undersøgelsesresultater, lægelige vurderinger samt enhver behandling og ethvert indgreb, der er foretaget. Ret til berigtigelse (art. 16), Ret til sletning (art. 17), Ret til begrænsning af behandlingen (art. 18), Ret til indsigelse (art. 21), Ret til dataportabilitet (art. 20), Ret til ikke at være genstand for automatiske afgørelse (art. 22) SIDE 20
Særlige regler Særlige regler, fx artikel 24 ff. Registreredes rettigheder (art. 12-23) Behandlingsgrundlaget (art. 6-10) Principperne (art. 5 & 32) Fortegnelse (art. 30) SIDE 21
Databehandleraftale Databehandler Den dataansvarlige Den registrerede Persondataforordningens artikel 28: Krav om skriftlig databehandleraftale Omfattende krav til indholdet Krav om skriftlig databehandleraftale Såfremt der ikke er en databehandleraftale, så bliver databehandleren den dataansvarlige. Den dataansvarlige vil have overført oplysninger til tredjemand. SIDE 22
Sikkerhedsbrud? Artikel 33 (1) Uden unødig forsinkelse, 72 timer Artikel 33 (2) Databehandler Uden unødig forsinkelse Den dataansvarlige Artikel 34 (1) Høj risiko = underretning Den registrerede SIDE 23
TAK FOR I DAG Særlige regler, fx artikel 24 ff. Registreredes rettigheder (art. 12-23) Behandlingsgrundlaget (art. 6-10) Principperne (art. 5 & 32) Fortegnelse (art. 30) SIDE 24