Persondata og forvaltningsret Advokat Jakob Bjerre, FTF Advokat Jens Harkov Hansen, Norrbom Vinding
Generelt Temaet eksemplificeret via en ansættelsessag Den juridiske ramme Forløb omkring ansættelse i den offentlige forvaltning Vil situationen ændre sig med forordningen? Side 2
Persondataloven Forordningen Grundlæggende principper Saglighedskrav mv. Lovens 5 Grundlæggende principper Saglighedskrav mv. Forordningens art. 5 Generelle behandlingsregler Almindelige oplysninger ( 6) Følsomme oplysninger ( 7-8) Generelle behandlingsregler Almindelige oplysninger (art. 6) Følsomme oplysninger (art. 9) Særlige behandlingsregler Cpr-nummer mv. Lovens 9-13 Særlige behandlingsregler Reguleres af national ret Fx cpr-nummer og strafbare forhold Side 3
Grundlæggende principper Persondataloven ( 5) God databehandlingsskik (rimelighed og lovlighed) Formålsbestemthed (indsamling til udtrykkeligt angivne og saglige formål) Proportionalitet (relevante og tilstrækkelige oplysninger) Datakvalitet (ajourføring og kontrol) Sletning (når man ikke længere har brug for oplysningerne) Forordningen (art. 5) Lovlighed, rimelighed og gennemsigtighed Formålsbegrænsning Dataminimering (proportionalitet) Rigtighed (datakvalitet) Opbevaringsbegrænsning (sletning) Integritet og fortrolighed Ansvarlighed Side 4
Hjemmel almindelige oplysninger ( 6/art. 6) Persondataloven (eksempler) Forordningen (eksempler) Samtykke (stk. 1, nr. 1) Samtykke (stk. 1, litra a) Opfyldelsen af en aftale (stk. 1, nr. 2) Opfyldelsen af en kontrakt (stk. 1, litra b) Retlig forpligtelse (stk. 1, nr. 3) Retlig forpligtelse (stk. 1, litra c) Offentlig myndighedsudøvelse (stk. 1, nr. 6) Offentlig myndighedsudøvelse (stk. 1, litra e) Berettigede interesser (stk. 1, nr. 7) Legitime interesser (stk. 1, litra f) gælder dog ikke udførelsen af myndighedsopgaver! Side 5
Hjemmel følsomme oplysninger ( 7/art. 9) Persondataloven Forordningen Udgangspunkt: Forbud ( 7, stk. 1) Udgangspunkt: Forbud (art. 9, stk. 1) Undtagelser (eksempler): Undtagelser (eksempler): Samtykke (stk. 2, nr. 1) Samtykke (stk. 2, a) Arbejdsretlige forpligtelser: fagforeningsmæssigt tilhørsforhold (stk. 3) Offentliggjort af vedkommende selv (stk. 2, nr. 3) Et retskrav kan fastlægges, gøres gældende eller forsvares (stk. 2, nr. 4) Arbejdsretlige forpligtelser efter lovgivningen mv. (stk. 2, b) Offentliggjort af vedkommende (stk. 2, e) Et retskrav kan fastlægges, gøres gældende eller forsvares (stk. 2, f) Side 6
Særligt om persondatalovens 8 Varetagelse af myndighedens opgaver ( 8, stk. 1) Hvis betingelserne i 7 er opfyldt ( 8, stk. 6) Særbestemmelser om videregivelse ( 8, stk. 2): Samtykke (nr. 1), Interesser, der klart overstiger hensynet til den registrerede (nr. 2), eller Myndighedsudøvelse/afgørelsesvirksomhed mv. (nr. 3-4) Bestemmelsen er en ren dansk regel og er derfor heller ikke medtaget i forordningen Side 7
Særligt om samtykke Den registrerede kan til enhver tid tilbagetrække sit samtykke Skal efter forordningen gøres opmærksom herpå, når samtykke gives Det skal være nemt at trække sit samtykke tilbage Forordningen skærper kravene til samtykke (art. 7 og 8) Let forståeligt Klart sprog Samtykke bør ikke anses for at være givet frivilligt, hvis der ikke er et reelt eller frit valg man ikke kan afvise eller tilbagetrække samtykke uden til skade for vedkommende der er en klar skævhed mellem den registrerede og den dataansvarlige Side 8
Centrale persondatarettigheder Oplysningspligt Lovens 28-29 Forordningens art. 13-14 Indsigtsbegæringer Lovens 31 Forordningens art. 15 Indsigelsesret Lovens 35 Forordningens art. 21 Anmodning om berigtigelse, sletning mv. Lovens 37 Forordningens art. 16-20 Side 9
Forholdet til offentligheds- og forvaltningsloven (I) Offentlighedsloven Egen acces 8, jf. 21, stk. 2 Indebærer at det som ansat/ansøger er muligt at få indsigt i egen personalesag, dog ikke interne dokumenter, jf. 23, jf. dog 26 (endelige beslutninger, notater om faktiske forhold og generelle retningslinjer om sagsbehandling) og 29 (interne faglige vurderinger i endelig form) Aktindsigt (meroffentlighed) 7 HR: Alle dokumenter, jf. dog ovenfor Forvaltningsloven Videregivelse til anden myndighed (visse begrænsede tilfælde) FVL 28 PDL finder anvendelse som HR Ansøgningssager FVL 29 - Oplysninger om rent private forhold må ikke indhentes fra andre myndigheder, mm. 1) samtykke, 2) følger af lov eller 3) interesseafvejning fører hertil Side 10
Forholdet til offentligheds- og forvaltningsloven (II) Aktindsigt (meroffentlighed) FVL 9 Parten (ansøgeren) kan forlange at blive gjort bekendt med dokumenter i sagen, dog selvfølgelig alene vedr. egne forhold, jf. stk. 3 og ej heller fx interne vurderinger af fx kvalifikationer, jf. 12, stk. 1 Behandling og aktindsigt i officielle dokumenter Forordningens art. 86 Sådanne dokumenter kan videregives i overensstemmelse med EU-ret og national ret De øvrige forvaltningsretlige regler Bl.a. vejledningspligt ( 7), partshøring ( 19), begrundelse ( 22-24), klagevejledning ( 25-26) og tavshedspligt ( 27) Side 11
Case en ansættelsessituation i den offentlige forvaltning Første fase Den rekrutterende myndighed indsamler en række persondata før ansættelsessamtalen Gennemgår ansøgning, googler, besøger Facebook og LinkedIn Anden fase Dernæst afholdes samtale(r), hvorefter der indsamles yderligere persondata Referencer, straffeattest, kreditoplysninger og personlighedstest Tredje fase Baseret på dataindsamlingen får medarbejderen. afslag Side 12
Første fase (I) Indhentning af oplysninger om kandidaten Typisk er ansøgning med bilag det vigtigste materiale (samtykke qua indsendelse) Herudover hjemmel i forvaltnings- og persondatareglerne? Persondataretligt skal der eksistere et behandlingsgrundlag, jf. 6, 7 og 8 (afhængig af oplysningstypen) Forvaltningsretligt kan indhentning af oplysninger konstituere ret til aktindsigt ( 9) og pligt til partshøring ( 19 ikke bekendt med, til ugunst og væsentlige ) Offentliggjort af personen selv Hjemmel til behandling af både almindelige og følsomme oplysninger Ombudsmandens udtalelse FOU 2011.1501 om Facebook Offentlige myndigheder må frit behandle oplysninger hentet på åben facebookprofil (også hvis mange venner ), jf. PDL 7, stk. 2, nr. 3, jf. dog 5 (sagligt) Side 13
Første fase (II) Oplysningspligt AG: Indsamlingen er kendt af ansøger, fx samtykke til reference Hvad med ugunstige oplysninger der meddeles herved (evt. uopfordret) Oplysningspligt, jf. PDL 29 og partshøring, jf. FVL 19 LM: Helbredsoplysningsloven Oplysninger af væsentlig betydning, jf. 6 (egen drift) Side 14
Anden fase (I) Straffeattest Privat straffeattest Må indhentes med samtykke i overensstemmelse med PDL 5 Sagligt og proportionalt Kan næppe indhentes standardmæssigt på baggrund af generel politik herom Konkret vurdering i hvert enkelt tilfælde, jf. Datatilsynets udtalelse af 15. oktober 2010 til Ombudsmanden Forholdet til forordningen? Artikel 10 Kun behandling hvis hjemmel i EUretten eller national ret Side 15
Anden fase (II) Kreditoplysninger Kan som hovedregel ikke indhentes, med mindre der er tale om ansættelse i særligt betroet stilling, jf. PDL 5 og Datatilsynets vejledning af 7. januar 2008 (opdateret den 6. maj 2015) Kan oplysninger opbevares på p-sagen? Ja, men ikke længere end nødvendigt, jf. PDL 5, stk. 5 (afhængig af indsamlingsmåde Evt. pligt til partshøring, jf. FVL 19 Bevares dette med forordningen? Kan alene behandles i overensstemmelse med artikel 5 og 6 (samme retlige standard) Side 16
Anden fase (III) Personlighedstest Oplysninger indeholdt heri er følsomme oplysninger, jf. PDL 8 Indebærer krav om behandlingsgrundlag som fx samtykke, jf. 8, stk. 2, nr. 1 Skal herudover være sagligt og relevant at behandle, PDL 5 Hvad med forordningen? Omfattet af artikel 6 Side 17
Anden fase (IV) Referencer Almindelige oplysninger Interesseafvejning, jf. 6, stk. 1, nr. 7 ( Værdispringsregel ) Følsomme oplysninger, fx oplysninger om mistanke om alkoholmisbrug Samtykke eller andet behandlingsgrundlag, fx 7, stk. 2, nr. 4 Hvad kan indsamles? Såfremt ansættelsesmyndighed indhenter på baggrund af ikke specificeret samtykke, kan ikke enhver oplysning indhentes Se fx U 2011 2343 H Side 18
Anden fase (V) Hvordan i praksis? Ændrer forordningen på dette? Forordningen skærper kravet til samtykke fra ansøgeren, jf. herved artikel 4, nr. 11, da nu krav om frivillig, specifik, informeret og utvetydig Indhentelse af ugunstige referencer kan endvidere udløse partshøringspligt, jf. FVL 19 (jf. fx ØL B-3080-09), ligesom PDL 29 skal iagttages (oplysningspligt om indhentelse) Side 19
Tredje fase (I) Afslag Begrundelse, jf. FVL 22-24 Når skønspræget afgørelse, skal hovedhensyn angives, ligesom de væsentligste faktiske omstændigheder skal angives Klagevejledning, jf. FVL 25 Alene hvis afgørelse (afslag) kan påklages (sjældent tilfældet) Domstolsprøvelse relevant retsmiddel Øvrige rettigheder PDL 35 sikrer at ansøgeren (den registrerede) kan gøre indsigelse mod behandling Endvidere kan der efter anmodning kræves berigtigelse, sletning eller blokering såfremt oplysninger er behandlet uretmæssigt, jf. 37 Side 20
Tredje fase (II) Indsigt Ret til indsigt efter PDL 31 i hvilke oplysning, formål med behandling, modtagere af oplysninger og hvorfra de stammer Endvidere ret til aktindsigt, jf. FVL 9 Krav om identifikation FVL 9a (angive sagen sjældent et problem) Hvornår skal anmodningen imødekommes? Som HR inden 7 arbejdsdage, jf. 16, stk. 2, med mindre ikke muligt grundet omfang og kompleksitet PDL 31, stk. 2 snarest og inden 4 uger hvis ej underretning Indsigelse Hvad indebærer indsigelsen? Indebærer at uberettiget behandling (intet behandlingsgrundlag) skal ophøre, jf. 35, stk. 2 Side 21
Tredje fase (III) Anmodning om berigtigelse mv. Hvad kan berigtiges? Faktuelt urigtige eller vildledende oplysninger kan kræves berigtiget, jf. PDL 37 Hvad med skøn? Da vildledende oplysninger kan kræves slettet, omfatter dette formentlig også skønsprægede oplysninger Forordningen: Sondring mellem objektivt og subjektivt forkerte oplysninger Sidstnævnte må bero på bevisbedømmelse (Datatilsyn har ej kompetence til at vurdere rigtighed af erklæringer fra fx en læge) Fx HR 107/2016 Side 22
Tredje fase (IV) Sletning Kan man kræve sletning? Følger ligeledes PDL 37 Hvad betyder forordningen i den sammenhæng? Efter artikel 17 krav på at få slettet oplysninger der ikke længere er nødvendige, hvis samtykke tilbagekaldes (og ikke andet behandlingsgrundlag), hvis der gøres indsigelse fra registrerede, eller ulovligt behandlede oplysninger og oplysninger der skal slettes imfa. retlig pligt Klageadgang Den registrerede kan klage til Datatilsynet, jf. PDL 40, hvorefter tilsynet kan udtale kritik, eller udstede påbud, jf. PDL 59 Offentliggørelse på Datatilsynets hjemmeside Side 23
Tredje fase (V) Erstatning Persondatalovens 69 præsumptionsansvar Forordningens art. 82 bredere? (betragtning 146) Godtgørelse U.2011.2343H 25.000 kr. (EAL 26) Højesterets dom af 29. september 2016 (277/2015) og HR sag nr. 107/2016 Forordningens art. 82? (Betragtning 146: Skade bør fortolkes bredt ) Hertil kommer, at art. 82 taler om erstatning for immateriel skade Begrebsforvirring? Hjemler direktivet allerede i dag mulighed for godtgørelse der blot ikke er implementeret i dansk ret? Præmis 88 i Bodil Lindquist C-101/01 og EMD Halford mod Storbritannien, jf. TEU artikel 6, stk. 2 Side 24
Tredje fase (VI) Bøder Persondataloven ikke hjemmel til at bødesanktionere offentlige arbejdsgivere Forordningen afhænger af Folketinget (principielt op til 20 mio. EUR) Side 25
Vil forordningen ændre noget? Større fokus på persondata Krav til samtykke skærpes Fortsat mulighed for national regulering Behandlingsregler Regler om aktindsigt mv. Undtagelser til rettigheder EU-retligt krav om effektive sanktioner Bøder? Erstatning? Godtgørelse? Side 26
Spørgsmål? Side 27