Har I styr på reglerne? Forsyningsselskabers behandling af persondata



Relaterede dokumenter
Skema til kortlægning af dataflow i STIL s produkter

PERSONDATALOVEN - UDFORDRINGER. Birthe Boisen, Juridisk Konsulent Tlf

Forsikring & Pension Philip Heymans Allé Hellerup

Hvordan er det med datasikkerhed og privacy? Highlights fra persondataloven Århus, d. 14. marts 2017 Erika Wolf, jurist, Sundhedsdatastyrelsen

Ny persondataforordning

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

Uddrag af persondataloven

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

ELEKTRONISK VINDUESKIGGERI HVOR ER

Vejledning til udfyldelse af anmeldelsesskema til Datatilsynet

Specifik information om persondataloven

Anmeldelsesskema for Videnskabelige og statistiske undersøgelser på SDU

Anmeldelsesskema for Videnskabelige og statistiske undersøgelser på SDU.

Vejledning om videregivelse. af personoplysninger til brug for forskning og statistik

Overblik over persondataforordningen

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

Anmeldelse af behandling af data

hos statslige myndigheder

INTRODUKTION TIL PERSONDATAFORORDNINGEN

Ulrich Stigaard Jensen. Persondataloven og sagsbehandling i praksis

Oplysningerne opbevares hos databehandler. Databehandlerens adresse Weidekampsgade 6, 2300 København S

BIG DATA OG PERSONDATABESKYTTELSE

BILAG 5 DATABEHANDLERAFTALE

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

7. Oktober Datatilsynet og forskningsregistrering

Behandling af personoplysninger i <virksomhed> (i forhold til persondataloven)

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

PERSONDATAREGLERNE I STORE TRÆK

Driftskontrakt. Databehandleraftale. Bilag 14

Af advokat (H), cand. merc. (R) Tommy V. Christiansen

Bilag A Databehandleraftale pr

Oplysningerne opbevares hos databehandler

Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren]

Persondataloven kort fortalt

Den nye persondataforordning Indlæg den Ejendomsforeningen Fyn. A focused subheading Date

Databehandleraftale. om [Indsæt navn på aftale]

Ny persondataforordning

Brugen af personoplysninger

Iagttagelse af Datatilsynets vilkår, databehandleraftaler, og den dataansvarliges kontrol med databehandlere.

Vejledning til udfyldelse af anmeldelsesskemaet for Sundhedsvidenskabelig

Databehandlingsaftale. mellem. Kommune og DanCast / Copenhagen Business School Peter Juel Henrichsen

Thea Præstmark, Sofie Amalie Bangsbo van Hauen og Bo Enevold Uhrenfeldt

Persondataloven i en Smart City kontekst. Alexander Tureczek, Ph.d. candidate

Rammer og vilkår for brug af data. 25. oktober 2016 Afdelingschef Birgitte Drewes,

Transkript:

Har I styr på reglerne? Forsyningsselskabers behandling af persondata

Langt de fleste virksomheder vil i forbindelse med deres virke få adgang til persondata af den ene eller anden slags. En forsyningsvirksomhed er ingen undtageles. Oplysningerne om persondata vil oftest være nødvendige for overhovedet at kunne udføre virksomhedens opgaver. Vi kan på baggrund af forespørgsler fra kommunalt ejede forsyningsselskaber konstatere, at der er mange forsyningsselskaber, der for tiden overvejer, om virksomhedens indsamling, behandling, opbevaring og/eller videregivelse overholder de regler, der er gældende for området. I denne pjece giver vi et overblik over nogle af de persondataretlige problemstillinger, som særligt relevante for forsyningsselskaberne. Relevante områder for forsyningsselskaber i relation til persondatabehandling Området for persondatabehandling er mangfoldigt. Overordnet set kan man inddele det i henholdsvis behandling af persondata, der relaterer sig til ansatte i virksomheden og behandling af persondata vedrørende andre. I denne pjece kommer vi ind på nedenstående emner og områder, der er særlig relevante for forsyningsselskaber: 1. Personaleadministration, 2. Behandling af persondata i relation til kunder, 3. Videregivelse af oplysninger, herunder: Videregivelse mellem koncernforbundne selskaber Videregivelse i henhold til reglerne om aktindsigt Personaleadministration Et forsyningsselskab (eller i koncern et serviceselskab ) har en medarbejderstab ansat til håndtering af den daglige drift. Som følge heraf vil der foregå personaleadministration i forsyningsselskabet/serviceselskabet. Der skal i en række tilfælde ske anmeldelse til Datatilsynet, når en virksomhed indsamler og opbevarer oplysninger om personer i forbindelse med personaleadministration. Begrebet personaleadministration omfatter dels håndtering af oplysninger om personer, der er ansat eller har været ansat i virksomheden, dels oplysninger om personer, som søger job i virksomheden. Det er i øvrigt uden betydning, om opbevaringen af oplysningerne sker i edb-registre, manuelle registre, ringbind eller på anden systematisk vis. Hvorvidt behandlingen og opbevaringen af oplysningerne skal anmeldes til Datatilsynet afhænger af, hvilken oplysning der er tale om. Behandling af følgende oplysninger skal anmeldes til Datatilsynet: oplysninger om strafbare forhold, fx tyveri fra virksomheden, indhentelse af straffeattest eller lign. oplysninger om racemæssig eller etnisk baggrund oplysninger om politisk, religiøs eller filosofisk overbevisning oplysninger om seksuelle forhold oplysninger om rent private forhold, fx at en medarbejder er bortvist fra jobbet pga. en grov væsentlig misligholdelse af ansættelsesforholdet

oplysninger om væsentlige sociale problemer oplysninger om tidligere, nuværende eller fremtidige helbredsforhold herunder vedkommendes fysiske eller psykiske tilstand samt misbrug af alkohol, nydelsesmidler mv., medmindre behandlingen heraf er nødvendig for at opfylde bestemmelser i lov eller forskrifter fastsat i henhold til lov oplysninger om medlemskab af en fagforening, medmindre registreringen er nødvendig med henblik på kontingenttræk resultater af en personlighedstest, fx i forbindelse med en ansættelsesproces (det er underordnet, om personlighedstesten efterfølgende kasseres) Hvis I behandler eller blot opbevarer én af de ovenfor nævnte oplysninger, skal I foretage en anmeldelse til Datatilsynet. Stort set alle virksomheder vil på et eller andet tidspunkt registrere, behandle eller opbevare mindst én af disse oplysninger. Der er derfor en overvejende sandsynlighed for, at jeres virksomhed er blandt de mange virksomheder, som skal anmelde personaleadministrationen. Langt de fleste virksomheder behandler anmeldelsespligtige oplysninger. Det er dog de færreste virksomheder, der er bevidste herom. En gennemgang af Datatilsynets register over virksomheder, der har anmeldt personaleadministration viser, at det er ganske få forsyningsselskaber, der har anmeldt deres personaleadministration til Datatilsynet. Hvorfor overhovedet anmelde nu? Har reglerne ikke været der i mange år? Hvis man ikke har anmeldt de anmeldelsespligtige oplysninger til Datatilsynet, foreligger der en overtrædelse af persondataloven. Det kan medføre sanktioner i form af bøde eller erstatningsansvar. På nuværende tidspunkt er sanktionsniveauet ikke særlig højt, hvilket formentlig er en af årsagerne til, at anmeldelsespligten ikke tidligere har været i fokus. Sådan bliver det dog ikke ved med at være. Det forventes, at der inden for nærmeste fremtid kommer en ny Persondataforordning, som vil medføre et meget højt bødeniveau ved overtrædelser. En overtrædelse vil kunne medføre bøder på op til 1.000.000 euro eller 2 % af virksomhedens årlige omsætning. Der er derfor god grund til allerede nu at få styr på anmeldelsespligten. Hvis I har spørgsmål til personaleadministration og anmeldelsespligten, er I selvfølgelig meget velkomne til at kontakte os for en uddybning eller hjælp til at foretage en anmeldelse. Behandling af persondata vedrørende kunder Det er ikke kun i relation til personaleadministration, at det kan være relevant at overveje reglerne for databehandling. I nogle situationer skal der også ske en anmeldelse til Datatilsynet, når der indsamles, behandles eller opbevares oplysninger om forsyningsselskabets kunder. Forsyningsselskaber behandler ofte følgende oplysninger vedrørende kunder: Navn og adresse Målernumre Installationsnumre Løbende oplysninger om kunders restancer vedr. det løbende forbrug og tilslutningsbidrag

Hvis I alene indsamler og opbevarer sådanne oplysninger, skal I ikke foretage anmeldelse heraf til Datatilsynet. Der er i persondataloven hjemmel til, at sådanne oplysninger registreres uden anmeldelse heraf til Datatilsynet. Der skal heller ikke foretages anmeldelse til Datatilsynet, hvis kunderne oplyser personnummer til brug for gældsinddrivelse. Hvis I derimod indsamler, opbevarer og/eller behandler andre oplysninger om jeres kunder, skal I være opmærksomme på, at I muligvis skal foretage anmeldelse heraf til Datatilsynet. Hvis I er i tvivl, står vi selvfølgelig til rådighed med konkret rådgivning. Videregivelse af oplysninger Der kan være mange grunde til, at et forsyningsselskab har behov for at videregive persondata vedrørende kunder/kundeforhold. Det kan være videregivelse som led i inddrivelse af udeståender, videregivel-se med henblik på udarbejdelse af statistik m.v. Uanset hvad formålet med videregivelsen af oplysningerne er, så er det forsyningsselskabet, der er ejer af de pågældende oplysninger, og dermed den dataansvarlige i forhold til reglerne i persondataloven. Den eller dem, til hvem oplysningerne videregives, er databehandler i for-hold til reglerne i persondataloven. En databehandler må kun behandle de videregivne personoplysninger på forsyningsselskabernes vegne og efter forsyningsselskabernes instruks. Hvis det er en sådan ekstern virksomhed (databehandler), der varetager et forsyningsselskabs behandling af de nævnte personoplysninger, skal forsyningsselskabet skriftligt indgå en såkaldt databehandleraftale, som skal opfylde nogle specifikke krav. Videregivelse til koncernforbundne selskaber: Mange forsyningsvirksomheder er organiseret som koncerner med moderselskab og fælles serviceselskab for forsyningsselskaberne. I koncerner vil de enkelte selskaber også i relation til persondatabehandling blive betragtet som selvstændige, juridiske enheder, hvor reglerne i persondataloven skal overholdes hver gang, der videregives oplysninger mellem de koncernforbundne selskaber, herunder oplysninger til serviceselskabet. Det betyder bl.a., at der bør være indgået aftaler mellem de koncernforbundne selskaber om behandlingen af data (databehandlingsaftale). En sådan databehandleraftale kan evt. være en del af de eksisterende serviceaftaler. Derudover skal der foretages en konkret afvejning af formålet med videregivelse af oplysningerne i hvert enkelt tilfælde forinden videregivelse af oplysningerne må gennemføres. For at kunne finde frem til, om et forsyningsselskabs måde at registrere og videregive persondata på overholder reglerne i persondataloven, er det første og vigtigste skridt at få identificeret de konkrete datastrømme.

Når forsyningsselskabets koncerninterne datastrømme er identificeret, kan der foretages en vurdering af, om videregivelsen af persondata overholder reglerne i persondataloven samt udarbejdes relevante databehandlingsaftaler koncernselskaberne imellem. Aktindsigt: Ved siden af reglerne om persondata findes reglerne om offentlige myndigheders udlevering af oplysninger som følge af anmodning om aktindsigt. Visse forsyningsselskaber er som bekendt underlagt disse regler om aktindsigt (offentlighedsloven). Udgangspunktet er, at i det tilfælde, hvor der anmodes om udlevering af oplysninger ifølge reglerne om aktindsigt i henhold til offentlighedsloven, skal forsyningsselskaberne kun foretage en vurdering i henhold til offentlighedsloven og dermed ikke tage persondatalovens regler om bl.a. videregivelse i betragtning. I det omfang at der derimod er tale om udveksling som led i samkøring af registre, (fx mellem to koncernforbundne selskaber eller et forsyningsselskab og en offentlig myndighed, typisk en ejerkommune), vil det være persondatalovens skærpede regler, der finder anvendelse. Har I brug for hjælp? Hvis ovenstående giver anledning til spørgsmål, er I mere end velkomne til at kontakte os med henblik på en uddybende og konkret vejledning ud fra jeres behov. Pia Moltke Jensen Advokat, Ph.D. Dir. tlf.: 33 34 07 97 Mobil: 51 99 90 71 E-mail: pmj@lett.dk

LETT Advokatpartnerselskab København Aarhus lett.dk CVR 35 20 93 52

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback