Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup

Relaterede dokumenter
[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.]

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007)

Uddrag af persondataloven

Uddrag af lov om behandling af personoplysninger

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Retsudvalget REU Alm.del endeligt svar på spørgsmål 919 Offentligt

Retningslinjer for behandling af personoplysninger m.v. i Center for Cybersikkerhed ved Forsvarets Efterretningstjeneste

Vedrørende behandling af flypassagerers biometriske oplysninger i form af template af fingeraftryk

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Lov om Center for Cybersikkerhed

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2011 efter vedtagelse af L 145)

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren]

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

Behandling af personoplysninger i <virksomhed> (i forhold til persondataloven)

Hvordan er det med datasikkerhed og privacy? Highlights fra persondataloven Århus, d. 14. marts 2017 Erika Wolf, jurist, Sundhedsdatastyrelsen

Persondataloven og sundhedsvidenskabelige forskningsprojekter

Incest, samleje eller anden kønslig omgang med børn under 15 år

hos statslige myndigheder

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Surftown A/S. Regionsgolf-Danmark DATABEHANDLERAFTALE. Databehandleraftalen foreligger mellem. Regionsgolf-Danmark.

BILAG 14: DATABEHANDLERAFTALE

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes.

Dansk Supermarked Administration A/S CVR-nr Bjødstrupvej 18, Holme 8270 Højbjerg

PERSONDATAPOLITIK 1. INTRODUKTION

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

DANVA, Dansk Vand- og Spildevandsforening. Godthåbsvej Skanderborg. og

Persondataloven i en Smart City kontekst. Alexander Tureczek, Ph.d. candidate

Rammer og vilkår for brug af data. 25. oktober 2016 Afdelingschef Birgitte Drewes,

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

Bilag A Databehandleraftale pr

Anmeldelse af behandlinger der foretages for den offentlige forvaltning.

Specifik information om persondataloven

2. HVILKE OPLYSNINGER VI INDSAMLER FORMÅL OG RETSGRUNDLAG

Persondataloven kort fortalt

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

PERSONDATAPOLITIK 1. INTRODUKTION

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

opfylde vores kontraktuelle forpligtelser over for dig, samt at

Persondatapolitik. Behandling af oplysninger Leasing Fyn behandler ikke personfølsomme oplysninger.

Kontraktbilag 3. Databehandleraftale

De oplysninger vi skal give dig er følgende:

Indenrigs- og Sundhedsministeriet Slotsholmsgade København K. Sendt til: med kopi til

Tønder Kommune BILAG 10

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

Datatilsynet har besluttet at undersøge sagen af egen drift.

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE

Information om Willis Towers Watsons indsamling og behandling af personoplysninger

Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på at føre en spærreliste.

Aftale omkring behandling af persondata.

Databehandleraftale

Bilag B Databehandleraftale pr

De oplysninger vi skal give dig er følgende:

Randers FCs Persondatapolitik, inkl. Din ret til indsigelse mod behandlingen af dine personoplysninger

Standardvilkår. Databehandleraftale

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS

Michael Teschl Etik Portalerne ApS Lotusvej København S. Sendt til:

Ulrich Stigaard Jensen. Persondataloven og sagsbehandling i praksis

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

Persondataloven i Grønland

Vilkår og privatlivspolitik

Forsvarsministeriets Materiel- og Indkøbsstyrelse

N. Zahles Skole Persondatapolitik

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

RETNIGSLINJER OM SIKRING AF REGISTREREDES RETTIGHEDER

Introduktion til persondataforordning

Lov om behandling af personoplysninger 1)

1. Oplysningspligt overfor den registrerede hvor oplysningerne indsamles hos den registrerede

UNDERRETNING OM BEHANDLING AF DINE PERSONOPLYS- NINGER

Almindelig viden om persondataforordningen

Der søges samtidig om Datatilsynets tilladelse. 1.Dataansvarlig Navn* (projektleder) Stilling*

2.1 Vi behandler persondata og har derfor vedtaget denne persondatapolitik, der beskriver, hvordan vi behandler persondata.

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

I den anledning skal Datatilsynet udtale følgende:

DanID A/S Lautrupbjerg 10 Postboks Ballerup

Retsudvalget REU Alm.del Bilag 364 Offentligt

Bilag 9 Databehandleraftale

DATABEHANDLERAFTALE Version 1.1a

DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr

Lov om behandling af personoplysninger 1)

PRIVATLIVSPOLITIK for Advokatfirmaet Gaarn Pedersen. (Opdateret maj 2018)

Sammenskrevet udgave af persondataloven

DATABEHANDLERAFTALE. Mellem. [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

Pharmadanmarks privatlivspolitik

Journalisering af samlede svar førte til behandling af personoplysninger i strid med persondataloven.

Retningslinje om fortegnelser over behandlingsaktiviteter

Projektets titel. Projektets formål

Driftskontrakt. Databehandleraftale. Bilag 14

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

Uanmodede henvendelser. Uanmodede henvendelser. Uanmodede henvendelser

Databehandleraftale. om [Indsæt navn på aftale]

Lov om behandling af personoplysninger 1)

Derudover må personoplysninger i fysiske mapper kun tilgås af personer, der har et formål med at kunne tilgå de pågældende personoplysninger.

Transkript:

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup 14. maj 2012 Orientering om nye regler om private dataansvarliges anmeldelsespligt Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29 Telefon 3319 3200 Fax 3319 3218 E-mail dt@datatilsynet.dk www.datatilsynet.dk J.nr. 2012-213-0022 Sagsbehandler Iben Segel Larsen Direkte 3319 3216 Datatilsynet kontaktede i 2011 Justitsministeriet angående muligheden for at undtage yderligere områder i den private sektor fra anmeldelsespligten i persondatalovens 1 48 samt pligten til efter persondatalovens 50, stk. 1, nr. 1, at indhente tilladelse til behandling af følsomme personoplysninger. Ændringsbekendtgørelsen træder i kraft den 15. maj 2012 Et udkast til ændringsbekendtgørelse har herefter været i høring, og den 15. maj 2012 træder ændringerne i kraft. Ændringsbekendtgørelsen kan ses i Retsinformation på følgende adresse: https://www.retsinformation.dk/forms/r0710.aspx?id=141758 Betingelserne for registrering, videregivelse og anden behandling skal stadig følges Det skal understreges, at de materielle behandlingsregler i persondataloven og reglerne i særlovgivningen på de berørte ressortområder fortsat gælder i forhold til konkrete databehandlinger indenfor de områder, der er blevet fritaget for anmeldelse. Betingelserne for behandling af personoplysninger skal således følges, uanset om behandlingen er anmeldelsespligtig til Datatilsynet eller ej. Borgernes rettigheder og klageadgang gælder fortsat Ændringen af anmeldelsespligten ændrer ikke på de forpligtelser, som persondataloven pålægger virksomhederne i forhold til de registrerede personers rettigheder. Det gælder bl.a. oplysningspligt, indsigtsret og retten til at gøre indsigelse. Borgernes adgang til at klage til Datatilsynet over behandling af personoplysninger omfattet af persondataloven, og Datatilsynets mulighed for at tage sager op af egen drift gælder også. 1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.

2 Ændringerne for den finansielle sektor Der sker ved ændringsbekendtgørelsen fritagelse fra det krav om anmeldelse til og tilladelse fra Datatilsynet ved behandling af følsomme oplysninger omfattet af persondatalovens 7 og 8, som følger af persondatalovens 50, stk. 1, nr. 1, jf. 48. Efter den nye bestemmelse i 2, stk. 3, nr. 2, i undtagelsesbekendtgørelsen 2 omfatter fritagelsen: Behandling af personoplysninger, som foretages i virksomheder omfattet af lov om finansiel virksomhed, og som vedrører virksomhedernes kunder eller personer, som virksomhederne har et retskrav på, eller som er nødvendige som følge af forpligtelser, der generelt påhviler finansielle virksomheder, bortset fra registreringer som følge af et ansættelsesforhold i en finansiel virksomhed. Særligt vedrørende forsikrings- og pensionsselskaber En del forsikrings- og pensionsselskaber har allerede indgivet anmeldelse og fået Datatilsynets tilladelse efter 50, stk. 1, nr. 1, til behandling af kundeoplysninger mv. Som følge af anmeldelsespligtens bortfald, vil Datatilsynet fjerne disse anmeldelser fra fortegnelsen på tilsynets hjemmeside. Behandling af følsomme personoplysninger i forbindelse med personaleadministration, herunder whistleblowerordninger, er ikke fritaget Ændringen af anmeldelsesordningen omfatter ikke behandling af følsomme personoplysninger i forbindelse med personaleadministration. Kravet om anmeldelse og tilladelse kan eksempelvis komme på tale, hvis der ved ansættelse, i løbet af ansættelsesperioden eller ved ophør behandles oplysninger om strafbare forhold, helbredsforhold eller andre rent private forhold - eksempelvis resultater af personlighedstests eller oplysninger om, at en medarbejder er bortvist. Yderligere informationer om pligten findes her: http://www.datatilsynet.dk/blanketter/vejledninger/erhvervpersonaleadministration/ En del forsikrings- og pensionsselskaber har anmeldelser og tilladelser vedrørende personaleadministration eller whistleblowerordninger. Disse anmeldelser og tilladelser gælder stadig. Information på Datatilsynets hjemmeside Datatilsynet vil løbende offentliggøre retningslinjer angående persondatalovens krav også rettet om den finansielle sektor. Herudover forudsætter Datatilsynet, at særreglerne i lov om finansiel virksomhed og anden særlovgivning, som finder anvendelse i sektoren, iagttages. 2 Bekendtgørelse nr. 534 af 15. juni 2000 om undtagelse fra pligten til anmeldelse af visse behandlinger, som foretages for en privat dataansvarlig, som ændret ved bekendtgørelse nr. 202 af 22. marts 2001 og bekendtgørelse nr. 410 af 9. maj 2012

3 I bilag 1 følger en gennemgang af de af persondatalovens 3 regler, der er særligt relevante. Datatilsynet forventer at offentliggøre dette brev på hjemmesiden. Tilsynet skal endvidere anmode Forsikring og Pension om at bistå med at orientere forsikrings- og pensionsselskaber om den ændrede anmeldelsespligt. Med venlig hilsen Lena Andersen Kontorchef 3 Hele loven kan findes på Datatilsynets hjemmeside, www.datatilsynet.dk, under punktet Lovgivning.

4 Bilag 1: Gennemgang af særligt relevante regler i persondataloven 1. Persondatalovens anvendelsesområde Persondataloven omfatter behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register, jf. 1, stk. 1. Loven gælder tillige for anden ikke-elektronisk systematisk behandling, som udføres for private, og som omfatter oplysninger om personers private eller økonomiske forhold eller i øvrigt oplysninger om personlige forhold, som med rimelighed kan forlanges unddraget offentligheden, jf. 1, stk. 2. I persondatalovens 4 finder regler om lovens geografiske anvendelsesområde. Efter 4, stk. 3, gælder loven for en dataansvarlig, der er etableret i et tredjeland, (1) hvis behandlingen af oplysninger sker under benyttelse af hjælpemidler, der befinder sig i Danmark, medmindre hjælpemidlerne kun benyttes med henblik på forsendelse af oplysninger gennem Det Europæiske Fællesskabs område, eller (2) hvis indsamling af oplysninger i Danmark sker med henblik på behandling i et tredjeland. 2. Persondatalovens behandlingsregler Ikke følsomme personoplysninger Persondatalovens 6, stk. 1, indeholder regler om, hvornår registrering, videregivelse og anden behandling af ikke-følsomme oplysninger som f.eks. navn, adresse og fødselsdato må finde sted. Efter lovens 6, stk. 1, nr. 1, må behandling ske, hvis den registrerede har givet sit udtrykkelige samtykke til behandlingen. De nærmere krav til et sådant samtykke findes i lovens 3, nr. 8, se nedenfor. Behandling efter lovens 6, stk. 1, nr. 2, må ligeledes finde sted, hvis behandlingen er nødvendig af hensyn til opfyldelsen af en aftale, som den registrerede er part i, eller af hensyn til gennemførelsen af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelsen af en sådan aftale. Efter persondatalovens 6, stk. 1, nr. 7, må registrering, videregivelse og anden behandling af personoplysninger ske, hvis behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse. Det er Datatilsynets umiddelbare vurdering, at de oplysninger af ikke-følsom karakter, som en registreret person selv afgiver til et forsikrings- eller pensionsselskab i forbindelse med selskabets opfyldelse af aftaler mv., normalt må registreres af selskabet i medfør af lovens 6, stk. 1, nr. 2 og/eller nr. 7 Personnummer For så vidt angår behandling af oplysninger om kunders personnumre, følger det af lovens 11, stk. 2, at oplysninger om personnummer må behandles, når

5 det følger af lov eller bestemmelser fastsat i henhold til lov (nr. 1) eller når den registrerede har afgivet et udtrykkeligt samtykke til behandlingen (nr. 2) eller hvis behandlingen sker til videnskabelige eller statistiske formål (nr. 3). Følsomme personoplysninger Oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs og filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold må efter lovens 7, stk. 1, som udgangspunkt ikke behandles. Efter lovens 7, stk. 2, nr. 1, må behandling af sådanne følsomme oplysninger dog bl.a. ske, hvis den registrerede har givet sit udtrykkelige samtykke til behandlingen. Efter lovens 7, stk. 2, nr. 4, kan behandling af følsomme oplysninger endvidere ske, hvis behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares. Oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold må behandles af private, hvis den registrerede har givet sit udtrykkelige samtykke hertil, jf. 8, stk. 4. Herudover kan behandling ske, hvis det er nødvendigt til varetagelse af en berettiget interesse og denne interesse klart overstiger hensynet til den registrerede. Det følger endvidere af 8, stk. 6, at behandling af oplysninger omfattet af 8, stk. 4, i øvrigt kan finde sted, hvis betingelserne i 7 er opfyldt. Det er Datatilsynets umiddelbare vurdering, at der med et udtrykkeligt samtykke fra den registrerede kan behandles følsomme oplysninger omfattet af persondatalovens 7, stk. 1, og 8, stk. 4, i forbindelse med et forsikringseller pensionsselskabs opfyldelse af aftaler mv. Datatilsynet finder endvidere, at kontraktsretlige forhold kan medføre, at et forsikrings- eller pensionsselskab i visse situationer vil kunne behandle følsomme personoplysninger i medfør af persondatalovens 7, stk. 2, nr. 4, og 8, stk. 6, jf. 7, stk. 2, nr. 4. Omfattet af denne bestemmelse er ifølge persondatalovens forarbejder bl.a. den situation, at behandling af oplysninger om den registrerede er nødvendig for, at den dataansvarlige kan afgøre, om den registrerede har et retskrav. Som eksempel på en sådan situation kan nævnes forsikringsselskabers behandling af helbredsoplysninger med henblik på at vurdere, om den registrerede har krav på erstatning. 3. De grundlæggende principper Behandling af personoplysninger skal endvidere ske i overensstemmelse med de grundlæggende principper, som er indeholdt i lovens 5. Grundprincipperne skal iagttages, selv om der i øvrigt er hjemmel til at foretage behandlingen. Det følger således af 5, stk. 1, at oplysninger skal behandles i overensstemmelse med god databehandlingsskik. Det betyder ifølge lovens forarbejder, at

6 behandlingen skal være rimelig og lovlig. Endvidere fremgår det, at en rimelig behandling bl.a. forudsætter, at registrerede personer kan få kendskab til en behandlings eksistens og, når der indsamles oplysninger hos dem, kan få nøjagtige og fyldestgørende oplysninger med hensyn til de nærmere omstændigheder ved indsamlingen, jf. lovens 28 og 29 om oplysningspligt. Af 5, stk. 2, følger, at indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og at senere behandling ikke må være uforenelig med disse formål. Ifølge lovens 5, stk. 3, skal de oplysninger, der behandles, være relevante og tilstrækkelige og må ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil de senere behandles. Bestemmelsen er udtryk for et princip om, at de oplysninger der indsamles og registreres, skal begrænses mest muligt. Af lovens 5, stk. 4, følger, at behandling af oplysninger skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne. Der skal endvidere foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges. Det følger endelig af 5, stk. 5, at indsamlede oplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles. 4. Persondatalovens krav til samtykke I persondatalovens 3, nr. 8, er den registreredes samtykke defineret som enhver frivillig, specifik og informeret viljestilkendegivelse, hvorved den registrerede indvilger i, at oplysninger, der vedrører den pågældende selv, gøres til genstand for behandling. Et samtykke skal således meddeles i form af en viljestilkendegivelse fra den registrerede, dvs. at et samtykke som udgangspunkt skal meddeles af den registrerede selv. Et samtykke kan ligeledes meddeles af en person, som den registrerede har meddelt fuldmagt til. Der gælder ingen formkrav til et samtykke. Der kan således være tale om såvel skriftligt som mundtligt samtykke fra den registrerede, ligesom samtykket også vil kunne gives digitalt. Da bevisbyrden for, at der foreligger et samtykke, der opfylder persondatalovens krav, påhviler den dataansvarlige, bør et samtykke i videst muligt omfang afgives skriftligt. Herudover skal der være tale om et specifikt samtykke, dvs. at et samtykke skal være konkretiseret i den forstand, at det klart og utvetydigt fremgår, hvad det er, der meddeles samtykke til. Det skal således af et meddelt samtykke fremgå, hvilke typer af oplysninger der må behandles, hvem der kan foretage

7 behandling af oplysninger om den samtykkende, og til hvilke formål behandlingen kan ske. Endelig skal samtykket være informeret således, at den samtykkende skal være klar over, hvad det er, vedkommende meddeler samtykke til. Den dataansvarlige må derfor sikre sig, at der gives den registrerede tilstrækkelig information til, at den pågældende kan vurdere, om samtykke bør meddeles. 5. Den registreredes rettigheder Hvis oplysningerne om den registrerede behandles helt eller delvis ved hjælp af elektronisk databehandling eller udgør et manuelt register skal den dataansvarlige iagttage persondatalovens bestemmelser om oplysningspligt og den registreredes indsigtsret. Omfattet af registerbegrebet er manuelle registre. Det kan være fortegnelser, kartotekskasser, journalkortsystemer og andre samlinger af manuelt materiale, som opbevares struktureret efter bestemte kriterier vedrørende personer for at lette adgangen til de personoplysninger, der er i materialet. Oplysningspligt I persondatalovens 28 og 29 findes reglerne om oplysningspligt. Efter disse bestemmelser påhviler det den dataansvarlige ved indsamlingen eller registreringen at give den registrerede meddelelse om bl.a. den dataansvarliges identitet, formålene med behandling af oplysningerne samt yderligere oplysninger, der er nødvendige for, at den registrerede kan varetage sine interesser. Den dataansvarlige skal derfor være opmærksom på, at der er en oplysningspligt over for de registrerede efter ovennævnte bestemmelser i forbindelse med behandlingen af oplysninger om dem. I tilfælde, hvor oplysninger ikke er indsamlet hos den registrerede, følger det af persondatalovens 29, stk. 1, at det påhviler den dataansvarlige eller dennes repræsentant ved registreringen, eller hvor de indsamlede oplysninger er bestemt til videregivelse til tredjemand, senest når videregivelsen finder sted, at give den registrerede meddelelse om den dataansvarliges eller dennes repræsentants identitet samt formålet med behandlingen. Den dataansvarlige skal endvidere give meddelelse om alle yderligere oplysninger, der efter forholdets særlige omstændigheder er nødvendige for, at den registrerede kan varetage sine interesser, herunder f.eks. indsamlede oplysningstyper og kategorier af eventuelle modtagere af oplysningerne. Lovens 29, stk. 2-3, samt 30 indeholder undtagelsesbestemmelser til oplysningspligten i 29, stk. 1. Det følger bl.a. af 30, stk. 1, at bestemmelsen i 29, stk. 1, ikke gælder, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til offentlige eller private interesser, herunder hensynet til den pågældende selv.

8 Det afhænger af en konkret vurdering i hvert enkelt tilfælde, hvorvidt der vil kunne gøres undtagelse fra oplysningspligten. Der henvises i øvrigt til Datatilsynets rettighedsvejledning 4, punkt 2. Indsigtsret Ifølge persondatalovens 31, stk. 1, skal den dataansvarlige efter begæring fra en person give meddelelse om, hvorvidt der behandles oplysninger om vedkommende. Der skal på en let forståelig måde gives meddelelse om, hvilke oplysninger der behandles (dvs. selve indholdet af oplysningerne, ikke blot en beskrivelse af disse), behandlingens formål, kategorierne af modtagere af oplysningerne og tilgængelig information om, hvorfra disse oplysninger stammer. Efter lovens 32, stk. 1, finder 30 tilsvarende anvendelse i forhold til indsigtsretten. Der henvises i øvrigt til rettighedsvejledningen. 5 6. Datasikkerhed og benyttelse af databehandler Det påhviler den dataansvarlig at sikre, at uvedkommende ikke skaffer sig adgang til oplysningerne og at oplysninger ikke hændeligt eller ulovligt tilintetgøres, fortabes eller forringes. I lovens 41, stk. 1, er det fastsat, at personer, virksomheder mv., der udfører arbejde under den dataansvarlige eller databehandleren, og som får adgang til oplysninger, kun må behandle de pågældende oplysninger efter instruks fra den dataansvarlige, medmindre andet følger af lov eller bestemmelser fastsat i henhold til lov. Det følger desuden af persondatalovens 41, stk. 3, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Hvis oplysningerne behandles elektronisk, skal Datatilsynet anbefale, at den dataansvarlige i videst muligt omfang tilrettelægger sikkerhedsforanstaltningerne i overensstemmelse med Justitsministeriets sikkerhedsbekendtgørelse. 6 For så vidt angår sikkerhed ved overførsel af personoplysninger via internet henvises til Datatilsynets hjemmesidetekst. 7 4 Vejledning nr. 126 af 10. juli 2000 om den registreredes rettigheder efter reglerne i kapitel 8-10 i lov om behandling af personoplysninger. 5 Vejledning nr. 126 af 10. juli 2000 om registreredes rettigheder efter reglerne i kapitel 8-10 i lov om behandling af personoplysninger. Rettighedsvejledningen kan findes på Datatilsynets hjemmeside under punktet lovgivning. 6 Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning. bekendtgørelsen kan ses på Datatilsynets hjemmeside under punktet lovgivning.

9 Som det fremgår af hjemmesideteksten stiller Datatilsynet bl.a. i tilfælde, hvor følsomme personoplysninger og personnumre overføres via en hjemmeside, krav om, at overførslen sker krypteret 8. Det er endvidere Datatilsynets anbefaling, at transmission af personoplysninger i en række andre tilfælde krypteres, når de overføres via internettet ved brug af e-mail. Skriftlig aftale og kontrol med databehandlere Hvis oplysningerne bliver behandlet hos en eller flere databehandlere, skal forsikrings- eller pensionsselskabet indgå en skriftlig databehandleraftale med de pågældende databehandlere, se herved persondatalovens 42. Det følger således af persondatalovens 42, stk. 1, at når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger og påse, at dette sker. Herudover stiller persondatalovens 42, stk. 2, bl.a. krav om, at det skal fremgå af databehandleraftalen, at databehandleren alene må handle efter instruks fra den dataansvarlige, og at reglerne i persondatalovens 41, stk. 3-5, ligeledes gælder for behandlinger ved databehandleren. 7. Overførsel af oplysninger til tredjelande 9 Det følger af persondatalovens 27, stk. 1, at der kun må overføres oplysninger til et tredjeland, såfremt dette land sikrer et tilstrækkeligt beskyttelsesniveau, jf. dog stk. 3. Af lovens forarbejder fremgår, at der ved udtrykket overførsel skal forstås såvel videregivelse som overladelse af oplysninger til modtagere i tredjelande. Ved videregivelse forstås overførsel af oplysninger til enhver anden end den registrerede, den dataansvarlige, databehandleren og personer under den dataansvarliges og databehandlerens direkte myndighed. Ved overladelse forstås overførsel af oplysninger til en databehandler eller personer under databehandlerens direkte myndighed. Endelig omfatter udtrykket den dataansvarliges interne anvendelse af oplysningerne. Udtrykket overførsel er således en samlet betegnelse for videregivelse og overladelse/intern anvendelse af oplysninger. Af 27, stk. 2, fremgår, at vurderingen af, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt, sker på baggrund af samtlige de forhold, der har indflydelse på overførslen, herunder navnlig oplysningernes art, behandlingens 7 http://www.datatilsynet.dk/erhverv/internettet/krav-og-anbefalinger-ifm-overfoersel-afpersonoplysninger-via-internettet/ 8 Såfremt en tilladelse er betinget af vilkår om konkrete sikkerhedsforanstaltninger kan der også for andre oplysninger stilles vilkår om kryptering 9 En stat, som ikke indgår i Det Europæiske Fællesskab, og som ikke har gennemført aftaler, der er indgået med Det Europæiske Fællesskab, og som indeholder regler svarende til direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.

10 formål og varighed, oprindelseslandet og det endelige bestemmelsesland, samt de retsregler, regler for god forretningsskik og sikkerhedsforanstaltninger, som gælder i tredjelandet. Yderligere er der i 27, stk. 3, listet en række undtagelser til bestemmelsen i 27, stk. 1. Herefter kan overførsel bl.a. ske med den registreredes udtrykkelige samtykke, jf. stk. 3, nr. 1, eller hvis overførslen er nødvendig af hensyn til opfyldelsen af en aftale mellem den registrerede og den dataansvarlige, jf. stk. 3, nr. 2. Det fremgår af 27, stk. 4, at tilsynsmyndigheden uden for de i stk. 3 nævnte tilfælde kan give tilladelse til, at der overføres oplysninger til tredjelande, som ikke opfylder stk. 1, såfremt den dataansvarlige yder tilstrækkelige garantier for beskyttelse af de registreredes rettigheder 10. Datatilsynet skal endvidere henlede opmærksomheden på 27, stk. 5, hvorefter reglerne i persondataloven i øvrigt finder anvendelse ved overførsel af oplysninger til tredjelande efter stk. 1, 3 og 4. 10 Se Datatilsynets hjemmesidetekster om Tredjelande.

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback