Udvalgte persondataretlige udfordringer og hvordan de kan håndteres. 12. maj 2016

Relaterede dokumenter
GDPR og arkivloven. Poul Olsen, DPO, Rigsarkivet

Retsudvalget L 68 endeligt svar på spørgsmål 2 Offentligt

Persondataforordningen. Hvad kan vi bruge KITOS til?

Almindelig viden om persondataforordningen

DANVA, Dansk Vand- og Spildevandsforening. Godthåbsvej Skanderborg. og

DATABESKYTTELSESPOLITIK FOR AJAX KØBENHAVN

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Ecofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager

Fysiske personer. Vi ved jo alle, hvad en person er. Det er sådan en som os selv (Peter Blume: Databeskyttelsesret, 4. udg., 2013, s. 30f.

Retsudvalget, Retsudvalget L 68 endeligt svar på spørgsmål 4, L 69 endeligt svar på spørgsmål 4 Offentligt

Samtykke. De registreredes rettigheder, Skoleforvaltningen

PERSONDATABESKYTTELSESPOLITIK FOR ADVOKATFIRMAET KRARUP

Persondataforordningen

Rammer og vilkår for brug af data. 25. oktober 2016 Afdelingschef Birgitte Drewes,

Databeskyttelsesforordningen og dansk forskning. v/ chefkonsulent Kim Taasby & jurist Anahita Khatam-Lashgari 24. maj 2018

FRIVILLIG KONFERENCE 2018

RETNIGSLINJER OM SIKRING AF REGISTREREDES RETTIGHEDER

1. Oplysningspligt overfor den registrerede hvor oplysningerne indsamles hos den registrerede

Europaudvalget EUU Alm.del EU Note 27 Offentligt

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Forbrugerrettens betydning for persondataretten. Jan Trzaskowski Associate Professor, Ph.D. Copenhagen Business School

Rigsarkivets konference 2. november 2016

GML-HR A/S CVR-nr.:

Vilkår for behandling af personoplysninger

Agenda. Præsentation af Thomas Riisager Persondataforordningen de vigtigste punkter. Pause

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

Hvad betyder den nye persondataforordning for udvikling og brug af digitale sundhedsløsninger, og hvem har ansvaret for overholdelse?

Velkommen til seminar om Persondataforordningen. Den 16. maj 2018.

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Ordliste begreber om håndtering af personoplysninger til patientbehandling og forskningsbrug

Sådan arbejder. SprogGruppen med. Persondataforordningen. Indholdsfortegnelse

B EUROPA-PARLAMENTETS

Persondatareguleringen. Hvorfor, hvornår, systemet og lidt om maj 2018

(Lovgivningsmæssige retsakter) FORORDNINGER

EU Persondataforordning GDPR

Sletteregler. v/rami Chr. Sørensen

Selskabet har efter lovgivningen pligt til at informere dig om, hvordan Selskabet behandler og videregiver personoplysninger.

Vi passer på dine persondata

DATABESKYTTELSESPOLITIK FOR

Persondatapolitik Vordingborg Gymnasium & HF

POLITIK FOR DATABESKYTTELSE

PERSONDATA & PERSONDATAORDBOG

Kundens samtykke: Hvordan, hvornår og hvorfor?

OPTION TIL RM OG RN BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

Lector ApS CVR-nr.:

Persondataforordningen

Databeskyttelsesforordningspolitik

Orientering om databeskyttelsesforordningen. Sundhedsstrategisk Forum Onsdag den 21. marts 2018

BILAG TILSYN OG EGENKONTROL UDFØRT DEN [INDSÆT: DATO]

Retsudvalget, Retsudvalget L 68 endeligt svar på spørgsmål 16, L 69 endeligt svar på spørgsmål 16 Offentligt

Hvis vi har brug for yderligere oplysninger end angivet ovenfor, vil vi orientere dig herom ved indsamlingen heraf.

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Komiteen for Sundhedsoplysning CVR-nr.:

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

Introduktion til persondataforordning

Persondataforordningen

Oplysning om vores behandling af dine personoplysninger m.v.

Vedrørende behandling af flypassagerers biometriske oplysninger i form af template af fingeraftryk

Internationale dataoverførsler

Procedure for håndtering af personoplysninger - GDPR Denne udgave: /TW

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

opfylde vores kontraktuelle forpligtelser over for dig, samt at

Plan og Handling CVR-nr.:

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

PERSONDATAPOLITIK FOR BAPTISTERNES BØRNE- OG UNGDOMSFORBUND

PERSONDATAPOLITIK FOR FANCONI ANÆMI DANMARK

PERSONDATAPOLITIK FOR DANSK TOURETTE FORENING

Persondatapolitik for Tørring Gymnasium 2018

EN DAG OM PERSONDATAFORORDNINGEN. STU Foreningen. 7. december 2017

Hvordan er det med datasikkerhed og privacy? Highlights fra persondataloven Århus, d. 14. marts 2017 Erika Wolf, jurist, Sundhedsdatastyrelsen

Borgernes rettigheder ifølge databeskyttelsesreglerne. Konference om digitalisering og retssikkerhed

Databeskyttelsespolitik for advokatanpartsselskabet Vibeke Westergaard

Databehandleraftale

Gå-hjem-møde Persondataforordning

EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2018/1725. af 23. oktober 2018

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

Persondatapolitik til ansøgere og rekruttering

Persondata politik for GHP Gildhøj Privathospital

DATASIKKERHED AF SUNDHEDSAPPS

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Persondatapolitik for Aabenraa Statsskole

BIG DATA OG PERSONDATABESKYTTELSE

GDPR og borgerne og arkiverne og arkivloven

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Surftown A/S. Regionsgolf-Danmark DATABEHANDLERAFTALE. Databehandleraftalen foreligger mellem. Regionsgolf-Danmark.

Indhentning af samtykke

Oplysning om vores behandling af dine personoplysninger m.v.

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

NOTAT Lov om Nationalt Genom Center

IT- og Telestyrelsen Holsteinsgade København Ø.

Persondatabeskyttelsespolitik for REFA

9565/15 tm/aan/pfw/ef 1 DGD2C

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Hvis du har spørgsmål om vores behandling af dine personoplysninger, er du til enhver tid velkommen til at kontakte os herom.

Persondatapolitik for VIAVANA.COM. GO WITH PASSION

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

Transkript:

Udvalgte persondataretlige udfordringer og hvordan de kan håndteres 12. maj 2016

Emner 1. mhealth og sociale medier 2. Introduktion hvordan reguleres helbredsoplysninger efter persondataforordningen 3. Samtykkekrav 4. Pseudonymisering 5. Privacy by Design / Privacy by Default 2

3 1. mhealth og sociale medier

mhealth og sociale medier GREEN PAPER on mobile Health 2014 : mhealth: medical and public health practice supported by mobile devices, such as mobile phones, patient monitoring devices, personal digital assistants (PDAs), and other wireless devices ca. 97.000 mhealth apps => 70 % wellness og fitness 30 % professionelle i sundhedssektoren (eks. konsultation og overvågning, diagnostiske billeder, farmaceutiske oplysninger 4

mhealth og sociale medier Problemstillinger Omfattende indsamling og behandling af oplysninger (big data): fremme af forskning og udvikling af nye løsninger til gavn for patienter og besparelser i sundhedsudgifter Hvordan sikres privatlivets fred Sikkerhed mod uautoriseret brug Behov for gennemsigtighed 5

mhealth og sociale medier WEB-RADR (Adverse Drug Reactions) Brug af ny teknologi til rapportering af bivirkninger ved lægemidler App frigivet i England i juli 2015 og Holland i januar 2016 Sociale medier: Udvikling af tekst mining teknikker til indhentning af offentlige tilgængelige data på sociale medier som supplement til eksisterende data 6

7 2. Introduktion - helbredsoplysninger og persondataforordningen

Persondataforordningen - tekst 6. april 2016 Forventes at træde i kraft sommeren 2018 Forordningens intention: Sikre højere beskyttelsesniveau og større kontrolmuligheder for EU-borgere Sikre et digitalt indre marked Forordning: Direkte virkning i medlemsstaterne HR: Intet rum for nationale særregler Ensartet fortolkning i alle medlemsstater Ensartet sanktionering 8

Helbredsoplysninger - artikel 4 (15) Helbredsoplysninger": Personoplysninger, der vedrører en fysisk persons fysiske eller mentale helbred, herunder levering af sundhedsydelser, og som giver information om vedkommendes helbredstilstand Betragtning 35 : et nummer, symbol eller særligt mærke, der tildeles en fysisk person for entydigt at identificere den fysiske person til sundhedsformål; oplysninger, der hidrører fra prøver eller undersøgelser af en legemsdel eller legemlig substans, herunder fra genetiske data og biologiske prøver; og enhver oplysning om f.eks. en sygdom, et handicap, en sygdomsrisiko, en sygehistorie, en sundhedsfaglig behandling eller den registreredes fysiologiske eller biomedicinske tilstand uafhængigt af kilden hertil, f.eks. fra en læge eller anden sundhedsperson, et hospital, medicinsk udstyr eller in vitrodiagnostik. Genetiske og biometriske data også defineret art. 4 (13) og (14) 9

God databehandlingsskik - artikel 5 De grundlæggende krav til databehandling: Lovlighed, rimelighed og gennemsigtighed Formålsbegrænsning : Indsamling af oplysninger skal ske til udtrykkeligt angivne og legitime formål, og senere behandling må ikke være uforenelig med formålet => Medlemsstater kan fastsætte regler om videnskabelig forskningsformål bør anses for lovlige behandlingsaktiviteter, betragtning (50) Dataminimering : Oplysningerne skal være tilstrækkelige, relevante og begrænsede Rigtige : Oplysningerne skal ajourføres og korrigeres 10

God databehandlingsskik - artikel 5 De grundlæggende krav til databehandling, fortsat: Opbevaringsbegrænsning : Ikke opbevaring på en måde, der kan identificere den registrerede i et længere tidsrum, end det der er nødvendigt af hensyn til formålet Længere tidsrum ved bl.a. videnskabelig forskning Integritet og fortrolighed : Tilstrækkelig sikkerhed og beskyttelse mod uautoriseret og ulovligt brug mv. Ansvarlighed : Den dataansvarlige er ansvarlig for og skal kunne bevise, at disse grundlæggende krav overholdes 11

Behandling af helbredsoplysninger- artikel 9 Krav om hjemmel: Udgangspunkt: Helbredsoplysninger må ikke behandles uden samtykke Undt.: Behandling nødvendig, bl.a. beskyttelse af personens vitale interesser, samfundsinteresse på folkesundhedsområdet, videnskabelige forskningsformål Medlemsstater kan fravige forbuddet mod behandling, betragtning (52) Medlemsstater kan opretholde eller indføre yderligere betingelser bl.a. for behandling af genetiske data, biometriske data eller helbredsoplysninger, betragtning (53) Behandling kan være nødvendig af hensyn til samfundsinteresser hvad angår folkesundhed uden den registreredes samtykke, betragtning (54) 12

Regulering i persondataforordningen Ikke krav om samtykke betragtning (50): Viderebehandling, som er foreneligt med samtykket ved indsamling: Lovlige behandlingsaktiviteter i offentlighedens interesse, f.eks. forskningsmæssige og statistiske formål Art. 89: Medlemsstaterne har mulighed for at fastsætte visse undtagelser fra forordningen, bl.a. om ret til indsigt, berigtigelse, sletning og indsigelse 13

14 3. Samtykkekrav

Regulering i persondataforordningen Definition af samtykke, art. 4 (11), enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling Samtykket skal være udtrykkeligt, når der behandles genetiske data, biometriske data og helbredsoplysninger (art. 9) 15

Regulering i persondataforordningen Samtykke generelle krav betragtning (32): Klar bekræftelse: frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede (eks. kryds i et felt ved besøg på et websted, valg af tekniske indstillinger til informationssamfundstjenester), der tydeligt tilkendegiver den registreredes accept af den foreslåede behandling af vedkommendes personoplysninger (ikke tavshed, forudafkrydsede felter eller inaktivitet). Bør dække alle behandlingsaktiviteter, der udføres til det eller de samme formål. Når behandling tjener flere formål, bør der gives samtykke til dem alle. 16

Regulering i persondataforordningen Samtykke forskning: Betragtning (33): Ofte ikke muligt fuldt ud at fastlægge formålet med behandling af personoplysninger til videnskabelige forskningsformål, når oplysninger indsamles Samtykke bør kunne gives til bestemte videnskabelige forskningsområder, når dette er i overensstemmelse med anerkendte etiske standarder for videnskabelig forskning eller dele af forskningsprojekter i det omfang, det tilsigtede formål tillader det. Betragtning (161): Deltagelse i videnskabelige forskningsaktiviteter i forbindelse med kliniske forsøg => Der skal tages højde for forordning (EU) nr. 536/2014 17

Regulering i persondataforordningen Generelle krav til samtykke art. 7 Anmodning om samtykke i en skriftlig erklæring: skal adskilles tydeligt fra øvrigt indhold, let forståelig, uden urimelige vilkår, vilkår i strid med forordningen er ugyldige Lige så let at trække et samtykke tilbage som at give det, informeres om mulighed inden samtykke gives Kun fremtidige behandlinger bliver ulovliggjort 18

19 4. Pseudonymisering

Pseudonymisering Pseudonymisering: Behandling af personoplysninger på en sådan måde, at det ikke er muligt at knytte oplysninger til den registrerede uden brug af yderligere information, art. 4 (5). Pseudonyme data er ikke anonyme Anonyme data ikke er omfattet af forordningen => afgørende om oplysninger kan blive personhenførbare ved rimelige bestræbelser Alle rimelige midler til identifikation tages i betragtning => alle objektive forhold tages i betragtning, såsom omkostninger og nødvendig tid til identifikation, under hensyntagen til den tilgængelige teknologi på behandlingstidspunktet og den teknologiske udvikling, betragtning (26) Større fleksibilitet end tidligere => den dataansvarlige skal ikke at indhente yderligere oplysninger kun for at identificere den registrerede med det formål at overholde forordningen, betragtning (57). 20

Pseudonymisering Pseudonymisering: Behandling af personoplysninger på en sådan måde, at det ikke er muligt at knytte oplysninger til den registrerede uden brug af yderligere information, art. 4 (5). Pseudonyme data er ikke anonyme Anonyme data ikke er omfattet af forordningen afgørende om oplysninger kan blive personhenførbare ved rimelige bestræbelser Alle rimelige midler til identifikation tages i betragtning alle objektive forhold tages i betragtning, såsom omkostninger og nødvendig tid til identifikation, under hensyntagen til den tilgængelige teknologi på behandlingstidspunktet og den teknologiske udvikling, betragtning (26) 21

Pseudonymisering Større fleksibilitet end tidligere den dataansvarlige skal ikke at indhente yderligere oplysninger kun for at identificere den registrerede med det formål at overholde forordningen, betragtning (57) Artikel 29-gruppen: WP136 Udtalelse nr. 4/2007 om begrebet personoplysninger, s. 18-22 WP216 Udtalelse nr. 05/2014 om anonymiseringsteknikker 22

23 5. Privacy by design / Privacy by default

Regulering i persondataforordningen art. 25 Privacy by Design (indbygget databeskyttelse) Tilgang til projekter der fremmer databeskyttelse og overholdelse af databeskyttelsesreglerne fra starten Databeskyttelse skal medtages meget tidligt i projektprocessen, f.eks. ved: Opbygning af nye IT-systemer til behandling og lagring af personoplysninger Udvikling af politikker og/eller strategier, der har eller kan have betydning for beskyttelse af personoplysninger, f.eks. dataminimering, pseudonymisering så tidligt som muligt, gennemsigtighed for brugerne Dog under hensyntagen til det aktuelle tekniske niveau og omkostningerne i forbindelse med gennemførelsen 24

Regulering i persondataforordningen - art. 25 Privacy by Default (databeskyttelse via indstillinger) Pligt til at sikre, at standardindstillinger i produkter mm. medfører, at der kun behandles persondata, som er nødvendige i forhold til behandlingsformålet Pligt til at sikre, at der ikke indsamles eller opbevares data i et unødvendigt omfang i forhold til behandlingsformålet Navnlig sikring af, at personoplysninger som udgangspunkt ikke stilles til rådighed for et ubegrænset antal personer uden den registreredes vidende Pseudonymisering skal anvendes, hvis det er muligt 25

Apps ctr sociale medier Apps Specifikt udviklet til brugeren kan selv sætte indstillinger for deling af personoplysninger Relevant information før installing af app Mindre risiko for ikke overholdelse af formålsafgrænsning Større mulighed for at sikre retten til et privatliv og databeskyttelse Sociale medier Relaterer sig typisk til brugerprofil Ingen specifik information og samtykke før indsamling af oplysninger Større risiko for afvigelse af formålet med brugen af mediet Retten til et privatliv og sikkerhed er defineret af det sociale medie 26

Susanne Mark Advokat +45 33 34 02 36 +45 20 64 60 38 sma@lett.dk Fagområder IP-ret Outsourcing Persondata-compliance Teknologi 27

København Aarhus - Rådhusgården Rådhuspladsen 4 Vester Allé 4 DK-1550 København V DK-8000 Aarhus C Tlf. +45 33 34 00 00 Tlf. +45 33 34 00 00 Fax +45 33 34 00 01 Fax +45 33 34 00 01

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback