DANVA, Dansk Vand- og Spildevandsforening. Godthåbsvej Skanderborg. og

Relaterede dokumenter
Fysiske personer. Vi ved jo alle, hvad en person er. Det er sådan en som os selv (Peter Blume: Databeskyttelsesret, 4. udg., 2013, s. 30f.

Persondataforordningen. Hvad kan vi bruge KITOS til?

Y s MEN INTERNATIONAL. Region Danmark

GDPR og arkivloven. Poul Olsen, DPO, Rigsarkivet

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Persondatapolitik Vordingborg Gymnasium & HF

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Dine rettigheder, når regionen behandler oplysninger om dig

Formålet med denne retningslinje er at sikre, at Ringkjøbing Gymnasium udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

1. Oplysningspligt overfor den registrerede hvor oplysningerne indsamles hos den registrerede

ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2 BEHANDLINGSGRUNDLAG... 3 KONTROL OG DOKUMENTATION... 8

Persondataforordningen

Retningslinje om behandlingsgrundlag (hjemmel)

Persondatapolitik for Aabenraa Statsskole

Databehandlervilkår. 1: Baggrund, formål og definitioner

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Persondatapolitik for Tørring Gymnasium 2018

Persondata politik for GHP Gildhøj Privathospital

Formålet med denne retningslinje er at sikre, at Nykøbing Katedralskole udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Persondatapolitik på Gentofte Studenterkursus

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

Formålet med denne retningslinje er at sikre, at Nakskov Gymnasium og HF udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

Behandlingsgrundlag Horsens Statsskole

Borgerens rettigheder, når regionen behandler personoplysninger

Retningslinje om behandlingsgrundlag (hjemmel)

JURA PÅ SOCIALE MEDIER JURA PÅ SOCIALE MEDIER

Hvis du har spørgsmål om vores behandling af dine personoplysninger, er du til enhver tid velkommen til at kontakte os herom.

RETNIGSLINJER OM SIKRING AF REGISTREREDES RETTIGHEDER

Formålet med denne retningslinje er at sikre, at Midtfyns Gymnasium udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Retningslinje om behandlingsgrundlag

N. Zahles Skole Persondatapolitik

Persondatapolitikken er godkendt på Vesthimmerlands Gymnasium og HF s bestyrelsesmøde den 25. juni 2018

Ecofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager

Retningslinje om fortegnelser over behandlingsaktiviteter

Persondatapolitik for Odense Katedralskole

Retningslinje om de registreredes rettigheder

B EUROPA-PARLAMENTETS

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Retningslinjer om brud på persondatasikkerheden

Retningslinje om dataansvarlig/databehandler

Ny Persondataforordning mv.

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

Retningslinje om fortegnelser over behandlingsaktiviteter

PRIVATLIVSPOLITIK FOR ELNETKUNDER

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

DATABESKYTTELSESPOLITIK FOR AJAX KØBENHAVN

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2

Privatlivspolitik for medlemmer af Grundejerforeningen Naurvej

Retningslinje om fortegnelser over behandlingsaktiviteter

Retningslinjer om brud på persondata

SKABELON FOR PRIVATLIVSPOLITIK

"forordningen" i det følgende) og gælder for alle ansatte på Midtfyns Gymnasium, der behandler personoplysninger.

Maj 2018 Retningslinje om de registreredes rettigheder på Frederiksberg Gymnasium

Selskabet har efter lovgivningen pligt til at informere dig om, hvordan Selskabet behandler og videregiver personoplysninger.

Retningslinje om ansvarsfordeling - dataansvarlig vs. databehandler

Bilag 7. Retningslinje om behandlingssikkerhed. Anvendelsesområde. Formål. Definitioner

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

PERSONDATAPOLITIK FOR AXIS

PERSONDATAPOLITIK FOR DANSK TOURETTE FORENING

Vilkår for behandling af personoplysninger

Tilsynsbesøget fandt sted den 9. november 2018.

Retningslinje om de registreredes rettigheder

Retningslinje om fortegnelser over behandlingsaktiviteter

Databeskyttelsespolitik for advokatanpartsselskabet Vibeke Westergaard

Formål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde

Som dataansvarlig behandler og opbevarer VEKSEL A/S forskellige personoplysninger, alt afhængigt af hvilken kontakt vi har med dig.

PERSONDATAPOLITIK FOR ORDET OG ISRAEL

Retningslinje om brud på persondatasikkerhed Skanderborg Gymnasium ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2

PERSONDATAPOLITIK FOR BAPTISTERNES BØRNE- OG UNGDOMSFORBUND

BEHANDLING AF PERSONOPLYSNINGER OM SAMARBEJDSPARTNERE OG LEVERANDØRER I REFA DATTERSELSKABER

Retningslinjer om brud på persondatasikkerheden

Brud på datasikkerheden

PRIVATLIVSPOLITIK FOR VAND- OG SPILDEVANDSSELSKABER

Glentereden s persondata politik

Randers FCs Persondatapolitik, inkl. Din ret til indsigelse mod behandlingen af dine personoplysninger

Privatlivspolitik for medlemmer af Veganerpartiet

Personoplysninger om kunder og forretningsforbindelser

Retningslinje om risikovurdering

Persondatapolitik for Backhausen A/S behandling af personoplysninger

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

BEHANDLING AF PERSONOPLYSNINGER OM KUNDER I REFA DATTERSELSKABER

Privatlivspolitik for kundeoplysninger - vandselskaber

PRIVATLIVSPOLITIK FOR GREVE RENOVATION A/S

OPLYSNINGSSKRIVELSE. Du kan på ethvert tidspunkt trække dit givne samtykke tilbage. Du kan læse mere herom: Ret til at trække samtykket tilbage?

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du

DATABESKYTTELSESPOLITIK FOR

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

PERSONDATAPOLITIK FOR HETAG TAG MATERIALER A/S

PERSONDATABESKYTTELSESPOLITIK FOR ADVOKATFIRMAET KRARUP

POLITIK FOR DATABESKYTTELSE

OPLYSNINGSSKRIVELSE. Du kan på ethvert tidspunkt trække dit givne samtykke tilbage. Du kan læse mere herom: Ret til at trække samtykket tilbage?

Midtfyns. Gymnasium. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Persondataforordningen

Transkript:

DANVA, Dansk Vand- og Spildevandsforening Godthåbsvej 83 8660 Skanderborg Sendt til: Cc: danva@danva.dk lgc@danva.dk og sv@danva.dk 21. december 2018 DANVAs henvendelse til Datatilsynet om behandling af personnumre Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29 Telefon 3319 3200 Fax 3319 3218 E-mail dt@datatilsynet.dk www.datatilsynet.dk J.nr. 2018-211-0500 Dok.nr. 26769 Sagsbehandler Viktor Ingemann Herskind Datatilsynet vender hermed tilbage i sagen, hvor DANVA ved brev af 16. maj 2018 har henvendt sig til Datatilsynet med en ansøgning om tilladelse til behandling af personoplysninger efter databeskyttelsesloven 1 7, stk. 4. 1. Afgørelse Datatilsynet meddeler hermed afslag på DANVAs ansøgning. Nedenfor følger en nærmere gennemgang af de relevante retsregler, DANVAs argumenter og en begrundelse for Datatilsynets afgørelse. 2. DANVAs bemærkninger DANVA har oplyst, at vandselskaber ønsker at anvende personnumre uden samtykke i følgende tilfælde: Udbetaling til kundernes NemKonto f.eks. ved flytninger, for meget opkrævet aconto, udbetaling af erstatninger samt refusioner af forskellig art. Automatisk adresseopdatering via cpr-registeret, f.eks. ved flytninger og dødsfald. Inddrivelse af restancer uden den manuelle tidskrævende proces med kommunalbestyrelsen (sekundært). DANVA har gjort gældende, at det vil være omkostningskrævende og uhensigtsmæssigt, såfremt ovenstående optimeringstiltag skal ske via samtykke fra den enkelte kunde. DANVA har endvidere gjort gældende, at de nævnte optimeringstiltag er af almen interesse, da de har en positiv betydning for en bredere kreds af personer. 1 Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven)

2 DANVA har herudover anført, at vandselskaberne er underlagt hvile-i-sigselv-princippet samt markante effektiviseringskrav som følge af vandsektorloven. Endelig har DANVA henvist til, at Energistyrelsen tidligere, efter dialog med Justitsministeriet, har forholdt sig til indhentning af forbrugsdata ved hjælp af fjernmålere. I denne forbindelse blev det af Energistyrelsen lagt til grund, at behandlingen blandt andet kunne ske med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra e. 3. Begrundelse for Datatilsynets afgørelse Datatilsynet finder, at hensynet til selskabernes optimeringstiltag ved indhentelse af personnummer ikke opfylder de skærpede betingelser for behandling af følsomme oplysninger, jf. databeskyttelseslovens 7, stk. 4. Det har ikke betydning for Datatilsynets vurdering, at Energistyrelsen tidligere har lagt til grund, at behandling af almindelige personoplysninger i forbindelse med optimeringstiltag i forsyningsbranchen kunne ske med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra e. 4. Afsluttende bemærkninger Datatilsynet har på baggrund af ovenstående orienteret Energi-, Forsyningsog Klimaministeriet om problemstillingen med henblik på ministeriets eventuelle stillingtagen til, om problemstillingen giver anledning til foranstaltninger fra lovgivers side. Datatilsynet bemærker i den forbindelse, at databeskyttelseslovens 11, stk. 2, netop giver mulighed for, at lovgiver tager stilling til privates mulighed for at behandle personnumre, jf. lovens 11, stk. 2, nr. 1. Datatilsynet betragter herefter behandlingen af DANVAs ansøgning om tilladelse efter databeskyttelseslovens 7, stk. 4, for afsluttet. Datatilsynet foretager sig ikke yderligere. Hvis I har nærmere spørgsmål til ovenstående eller ønsker nærmere vejledning om databeskyttelsesforordningen eller databeskyttelsesloven, er I velkomne til at kontakte undertegnede med henblik på en nærmere drøftelse på 33 19 32 42. Med venlig hilsen Viktor I. Herskind Bilag: Retsgrundlag

3 Bilag: Retsgrundlag Uddrag af Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse). Artikel 2, stk. 1. Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register. Artikel 4. I denne forordning forstås ved: 1)»personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet 2)»behandling«: enhver aktivitet eller række af aktiviteter med eller uden brug af automatisk behandling som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse ( ) 7)»dataansvarlig«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret 8)»databehandler«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne ( ) Artikel 5, stk. 1. Personoplysninger skal: a) behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«)

4 b) indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål; viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, skal ikke anses for at være uforenelig med de oprindelige formål (»formålsbegrænsning«) c) være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«) d) være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges (»rigtighed«) e) opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles; personoplysninger kan opbevares i længere tidsrum, hvis personoplysningerne alene behandles til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, under forudsætning af, at der implementeres passende tekniske og organisatoriske foranstaltninger, som denne forordning kræver for at sikre den registreredes rettigheder og frihedsrettigheder (»opbevaringsbegrænsning«) f) behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«). Stk. 2. Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«). Artikel 6, stk. 1. Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende: a) Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål. b) Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt. c) Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige. d) Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser. e) Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. f) Behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes

5 interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn. Første afsnit, litra f), gælder ikke for behandling, som offentlige myndigheder foretager som led i udførelsen af deres opgaver. Uddrag af lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven) og bemærkninger til lovforslag til denne lov 7, stk. 4. Behandling af oplysninger omfattet af databeskyttelsesforordningens artikel 9, stk. 1, kan ske, hvis behandling af oplysninger er nødvendig af hensyn til væsentlige samfundsinteresser, jf. databeskyttelsesforordningens artikel 9, stk. 2, litra g. Datatilsynet skal give tilladelse hertil, hvis behandlingen efter 1. pkt. ikke foretages for en offentlig myndighed. Der kan i en tilladelse efter 2. pkt. fastsættes nærmere vilkår for behandlingen. Det fremgår af bemærkningerne til databeskyttelsesloven, at 7, stk. 4, har karakter af en opsamlingsbestemmelse og forudsættes at have et snævert anvendelsesområde. Lovbemærkningerne til 7, stk. 4. Bestemmelsen, der har karakter af en opsamlingsbestemmelse, forudsættes at have et snævert anvendelsesområde ( ). 11, stk. 2. Private må behandle oplysninger om personnummer, når 1) det følger af lovgivningen, 2) den registrerede har givet samtykke hertil i overensstemmelse med databeskyttelsesforordningens artikel 7, 3) behandlingen alene finder sted til videnskabelige eller statistiske formål, eller hvis der er tale om videregivere af oplysninger om personnummer, når videregivelsen er et naturligt led i den normale drift af virksomheder m.v. af den pågældende art, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af den registrerede eller videregivelsen kræves af en offentlig myndighed eller 4) betingelserne i 7 er opfyldt. Lovbemærkningerne til 11, stk. 2, nr. 4. (P)rivate ( ) bør have mulighed for at behandle oplysninger om personnumre, når betingelserne i forslagets 7 er opfyldt. Der kan i den forbindelse bl.a. henvises til, at der stilles skærpede krav til behandlingsgrundlag i forslagets 7 om følsomme oplysninger. I tilfælde hvor de skærpede betingelser for at behandle følsomme oplysninger er opfyldt, vil der derfor være formodning for, at hensynet til integritet mv. er tilstrækkeligt varetaget også i relation til behandling af oplysninger om personnummer.

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback