Stormøde om databeskyttelsesforordningen 9. februar 2017

Relaterede dokumenter
Databeskyttelsesrådgiver/DPO. artikel 37-39

Gå-hjem-møde Persondataforordning

Stormøde om databeskyttelsesforordningen - og betænkning nr juni 2017

Gå-hjem-møde Persondataforordning

Introduktion til persondataforordning

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Aftale vedrørende fælles dataansvar

September Indledning

Data Protection Officer (DPO): DPO-krav og outsourcing af DPO-rollen

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Overblik over persondataforordningen

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

WP243 BILAG OFTE STILLEDE SPØRGSMÅL

Retningslinje om fortegnelser over behandlingsaktiviteter

Formålet med denne retningslinje er at sikre, at Ringkjøbing Gymnasium udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

Data Protection Officer: krav og outsourcing af DPO-rollen. Uddannelsesdagen 2017

Retningslinje om fortegnelser over behandlingsaktiviteter

Formålet med denne retningslinje er at sikre, at Nykøbing Katedralskole udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

Per Løkken, Partner. CAMPUS November 2018

Formålet med denne retningslinje er at sikre, at Nakskov Gymnasium og HF udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Persondatapolitik Vordingborg Gymnasium & HF

Vejledning om databeskyttelsesrådgivere

Formålet med denne retningslinje er at sikre, at Midtfyns Gymnasium udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

opfylde vores kontraktuelle forpligtelser over for dig, samt at

Retningslinje om behandlingsgrundlag

Overblik over Justitsministeriets betænkning og de væsentligste ændringer i persondataforordningen

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Standardvilkår. Databehandleraftale

Persondatapolitik for Tørring Gymnasium 2018

ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2 BEHANDLINGSGRUNDLAG... 3 KONTROL OG DOKUMENTATION... 8

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

Behandling af personoplysninger

Retningslinje om behandlingsgrundlag (hjemmel)

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

Vejledning om databeskyttelsesrådgivere

Persondataforordningen den 20. februar 2018

Persondatapolitik for Aabenraa Statsskole

Persondata politik for GHP Gildhøj Privathospital

Fysiske personer. Vi ved jo alle, hvad en person er. Det er sådan en som os selv (Peter Blume: Databeskyttelsesret, 4. udg., 2013, s. 30f.

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

N. Zahles Skole Persondatapolitik

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Behandlingsgrundlag Horsens Statsskole

Retningslinje om fortegnelser over behandlingsaktiviteter

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Er du klar til den nye Persondataforordning?

Persondatapolitik for Odense Katedralskole

Sletteregler. v/rami Chr. Sørensen

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

Skau Reipurth & Partnere Advokatpartnerselskab FORTEGNELSE OVER BEHANDLINGSAKTIVITER. Dataansvarlig: Databehandler: Udarbejdet: Næste revision:

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du

Organisatorisk og teknisk implementering af GDPR i Rigsarkivet. Fagligt forum 3. september 2019 Jan Dalsten Sørensen Rigsarkivet

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Præsentation Tid +/- 25 minutter i praktik

Retningslinje om ansvarsfordeling - dataansvarlig vs. databehandler

Retningslinje om databeskyttelsesrådgivere

GML-HR A/S CVR-nr.:

Procedure for håndtering af personoplysninger - GDPR Denne udgave: /TW

Nye regler på vej Status på arbejdet med databeskyttelsesforordningen. 8. november 2017

Til Økonomi- og Indenrigsministeriet 18. september 2017

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

GDPR og arkivloven. Poul Olsen, DPO, Rigsarkivet

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

DEN NYE DATATBESKYTTELSESFORORDNING GENERELT

POLITIK FOR DATABESKYTTELSE

Persondataforordningen. Henrik Aslund Pedersen Partner

Det skal du have styr pa inden 2018

Retningslinje om databeskyttelsesrådgivere

BILAG 3.2 FÆLLES DATAANSVARSAFTALE

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Notat. Databeskyttelsesrådgiver. Anvendelsesområde. Formål. Definitioner. Retningslinje om databeskyttelsesrådgivere. Danske Gymnasiers medlemsskoler

EN DAG OM PERSONDATAFORORDNINGEN. STU Foreningen. 7. december 2017

Persondata og whistleblowerordninger. Nyhedsbrev

Retningslinje om fortegnelser over behandlingsaktiviteter

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

Den nye persondataforordning. 2. februar 2017

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

Den nye persondataforordning. 17. maj 2016

Bilag 7. Retningslinje om behandlingssikkerhed. Anvendelsesområde. Formål. Definitioner

Overblik over persondataforordningen

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

FORTEGNELSE OVER BEHANDLINGSAKTIVITER. Dataansvarlig: Databehandler: Område: Udarbejdet: Næste revision:

I KORT FORM FORORDNINGEN GDPR PERSONDATA PERSONDATA FORORDNINGEN

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

Formål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde

Persondatapolitik på Gentofte Studenterkursus

Introduktion til persondataforordningen PSF temadag d , lektor Dorthe Høilund, Metropol

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

Transkript:

Stormøde om databeskyttelsesforordningen 9. februar 2017

Dagens progam 13.00-13.15: Velkomst v/jens Teilberg Søndergaard (Justitsministeriet) 13.15-13.30: Efterårets workshopforløb med erhvervslivet v/katrine Winding (Erhvervsstyrelsen) 13.30-14.00: Q&A om DPO for private 14.00-14.20: Pause Q&A om databeskyttelse gennem design og gennem standardindstillinger 14.20-14.50: Q&A om konsekvensanalyse Q&A om dataansvarlige og databehandlere Q&A om personoplysninger, behandlingshjemler og håndtering af de registreredes rettigheder 14.50-15:10: Spørgsmål fra salen (Justitsministeriet og Erhvervsstyrelsen) 15.10-15.20: Den fremadrettede proces (Justitsministeriet)

Q&A om DPO for private

Q Hvornår skal private udpege en databeskyttelsesrådgiver? Private virksomheder skal i visse situationer udpege en DPO men kun når visse særlige forhold gør sig gældende for virksomheden (artikel 37, stk. 1, litra b-c) I de fleste tilfælde vil private virksomheder således ikke skulle udpege en DPO Private virksomheder kan i øvrigt frivilligt vælge at udpege en DPO (artikel 37, stk. 4)

Q Hvornår skal private udpege en DPO? Følgende 3 betingelser skal alle være opfyldt for, at en privat virksomhed har pligt til at udpege en DPO: 1. Behandling af personoplysninger skal være virksomhedens kerneaktivitet 2. Der skal behandles personoplysninger i et stort omfang 3. Behandlingsaktiviteten består i regelmæssig og systematisk overvågning af personer eller behandlingen vedrører følsomme oplysninger, herunder oplysninger om strafbare forhold (artikel 9- og 10-oplysninger)

Q Hvornår er der tale om kerneaktivitet? Begrebet kerneaktiviteter går på, at behandlingen af personoplysninger er virksomhedens hovedaktivitet Hvis behandlingen af personoplysninger er en biaktivitet, skal der ikke udpeges en DPO (betyder, at de fleste private virksomheder ikke skal have en DPO) Afgørende skillelinje: Består virksomhedens produkt eller tjeneste i behandling af personoplysninger eller er aktiviteterne uløseligt forbundet hermed? Hvis ja: hovedaktivitet

Q Hvornår er der tale om kerneaktivitet? Eksempler på hovedaktiviteter (kerneaktiviteter) Hosting eller lagring af oplysninger, herunder cloududbydere Udbydere af marketingsundersøgelser Forsikringsselskab (forsikringsydelsen uløseligt forbundet med behandlingen af personoplysninger) Privathospital (patientbehandling uløseligt forbundet med journalbehandling)

Q Hvornår er der tale om kerneaktivitet? Eksempler på biaktiviteter kundekontakt, support/salg, personaleadministration (ofte inkl. helbredsopl. og oplysninger om fagforeningsmæssige forhold), IT-support, advokatfirmaers behandling af klient-oplysninger På trods af, at sådanne behandlinger er vigtige for virksomheden, er der ikke tale om hovedaktivitet

Q Hvornår er der tale om behandling i et stort omfang? Ikke noget direkte i forordningen herom, men der må skulle en del til (kerneaktivitet ikke nok) Art. 29-gruppen har gode bud på relevante momenter: Antallet af personer, der behandles oplysninger om Mængden af data Varigheden af behandlingen, herunder hvorvidt den er permanent Den geografiske udstrækning af behandlingsaktiviteterne

Q Hvornår er der tale om behandling i et stort omfang? Ikke behandling i et stort omfang En advokats behandling af personoplysninger En praktiserende læges behandling af oplysninger Behandling i et stort omfang Privathospitaler Forsikringsselskaber Fagforeninger Rejsekortet

Q Hvornår er der tale om regelmæssig og systematisk overvågning af de registrerede? Overvågning omfatter sporing/profilering af personer mhp. at kortlægge f.eks. præferencer, adfærd og holdninger Eksempler Ø Drift af et telekommunikationsnetværk Ø Kreditvurderinger Ø Lokations-tracking, f.eks. via apps Ø Adfærdsbaseret markedsføring Ø Smart Cars

Q Hvornår er der tale om behandling af følsomme oplysninger eller oplysninger om strafbare forhold? Følsomme oplysninger, artikel 9: Ø Race eller etnisk oprindelse Ø Politisk, religiøs eller filosofisk overbevisning Ø Fagforeningsmæssigt tilhørsforhold Ø Biometrisk data med formål om identifikation Ø Helbredsoplysninger og om seksuelle forhold Strafbare forhold, artikel 10: Ø Oplysninger om straffe- og børneattest

Q Kort opsamling: hvornår skal private udpege en DPO? Der skal meget til: Kerneaktivitet Stort omfang Regelmæssigt/systematisk overvågning eller følsomme oplysninger (artikel 9)/oplysninger om strafbare forhold (artikel 10) Hvad gør man, hvis man ikke er omfattet af kravet? Kræver ikke noget selvstændigt skridt man skal dog altid kunne påvise overholdelse af forordningen (accountability). Ens overvejelser kan i tvivlstilfælde f.eks. dokumenteres i et internt notits.

Q Gælder DPO-kravet både dataansvarlige og databehandlere? Ja, både private dataansvarlige og databehandlere skal udpege en DPO, hvis betingelserne er opfyldt Kan indebære, at begge eller alene én skal have en DPO (eller ingen af parterne, naturligvis) F.eks. lille virksomhed (dataansvarlig) og den store cloudleverandør (databehandler)

Q Stilles der uddannelsesmæssige krav til en DPO? Skal udpeges pba. sine faglige kvalifikationer, navnlig ekspertise inden for databeskyttelsesret og praksis samt evne til at udføre DPO-opgaverne Der stilles ikke krav om bestemt uddannelsesmæssig baggrund, såsom f.eks. jurist Sigtes til en person med juridiske kompetencer inden for databeskyttelsesret + en vis praktisk erfaring Niveauet afhænger af mængden, følsomheden og kompleksiteten af data

Q Hvem kan varetage rollen som DPO? En af virksomhedens medarbejdere ØMå dog ikke medføre interessekonflikt (mere om lidt) En koncern kan udpege en fælles databeskyttelsesrådgiver for hele koncernen, forudsat at alle etableringer af koncernen har let adgang til DPO en En ekstern på baggrund af en tjenesteydelseskontrakt ØF.eks. en advokat eller en revisor. Interessekonflikt må afgøres af relevante habilitetsregler, såsom de advokatetiske regler

Q Hvad skal DPO en lave? Får en central rådgivnings- og overvågningsrolle i organisationen. Uddannelse af ledelse og medarbejdere. Både forordningen og nationale regler om databeskyttelse Skal være kontaktpunkt for de registrerede (kontaktopl. skal offentliggøres) DPO en tager, ifm. prioritering af opgaverne, hensyn til risici forbundet med behandlingsaktiviteterne

Q Hvad ligger der i DPO ens uafhængige position? Nedslag fra artikel 38: Skal inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende databeskyttelse Skal have tilstrækkelige ressourcer + tid til rådighed, være tilgængelig Må ikke modtage instrukser eller afskediges/straffes for at udføre sine DPO-opgaver Rapporterer til det øverste ledelsesniveau Kan udføre andre opgaver, der dog ikke må medføre en interessekonflikt

Q Hvad ligger der i DPO ens uafhængige position? Skal f.eks. inddrages i spm. om databeskyttelse gennem design, behandlingssikkerhed og håndtering af registreredes rettigheder i så god tid, at det er muligt at tage højde for DPO ens rådgivning Må ikke direkte eller indirekte få besked på at komme til et bestemt resultat, når vedkommende opererer som DPO

Q Hvad ligger der i DPO ens uafhængige position? Hvem i organisationen kan så ikke være DPO? DPO en kan ikke samtidigt være øverste ansvarlig for organisationens lovlige behandling af personoplysninger Dvs. DPO en kan ikke f.eks. være den øverste ITansvarlige eller øverste HR-ansvarlige i organisationen

Q Hvad ligger der i DPO ens uafhængige position? Omvendt er der grænser for begrænsningerne DPO en skal inddrages rettidigt i alle spørgsmål DPO en kan ikke være afskåret fra at være en aktiv del af overvejelserne og beslutningerne om, hvordan compliance sikres DPO en kan og skal således inddrages i organisationens implementering af de krav, der følger af forordningen F.eks. ifm. indkøb af nyt IT-system og formulering af kravspecifikationer til leverandører F.eks. ifm. udarbejdelse af organisationens data-politikker Kan være organisationens compliance officer

Q Er en DPO ansvarlig for brud på reglerne om databeskyttelse? En DPO kan ikke gøres personlig ansvarlig for en virksomheds manglende overholdelse af databeskyttelseslovgivningen Det er altid virksomhedens ansvar, at behandlingen af personoplysninger sker lovligt, jf. artikel 5, stk. 2, og artikel 24 (den dataansvarlige skal kunne påvise compliance)

Q Har en DPO en særlig ansættelsesretlig beskyttelse? Må som nævnt ikke afskediges eller straffes for udførelse af DPO-opgaverne, jf. artikel 38, stk. 3, 2. pkt. Normalt kan man dog i DK ikke afskediges for at udføre sine arbejdsopgaver. Bestemmelsen sigter på en alm. saglighedsbeskyttelse som efter funktionærloven DPO en vil kunne afskediges på et sagligt grundlag efter almindelige arbejdsretlige regler. Overtrædelse af artikel 38, stk. 3, 2. pkt.-beskyttelsen kan medføre bødestraf efter artikel 83, stk. 4, litra a

Q&A om databeskyttelse gennem design og gennem standardindstillinger

Q Hvad er databeskyttelse gennem design, artikel 25, stk. 1? Ø Det er ikke en forpligtelse til noget bestemt, såsom et nyt selvstændigt sikkerhedskrav Ø Det består af en generel overvejelsesforpligtelse og en håndteringsforpligtelse for den dataansvarliges virksomhed til: Ø i forberedelsesfasen at overveje, hvilke foranstaltninger der skal håndteres ved en behandling af personoplysninger for at efterleve databeskyttelsesretten

Q Hvad er databeskyttelse gennem design, artikel 25, stk. 1? Ø Fremtidige it-systemer skal designes med henblik på effektiv implementering af databeskyttelsesprincipper f.eks. dataminimering F.eks. hvis den dataansvarlige selv udvikler et system, vil dette kunne afhjælpes ved at indarbejde Privacy Enhancing Technologies F.eks. ved at stille krav herom til leverandøren af et itsystem

Q Hvad er databeskyttelse gennem design, artikel 25, stk. 1? Ø Der er ikke krav om, at eksisterende systemer skal redesignes Ø Større ændringer i eksisterende systemer kan kræve tilpasninger: Ø OBS: organisatoriske foranstaltninger vil kunne være tilstrækkelige, hvis dette kan etablere et passende sikkerhedsniveau for behandlingen af personoplysninger f.eks. interne procedurer og undervisning af ansatte Ø OBS: tekniske ændringer ses i forhold til implementeringsomkostninger

Q Hvad er databeskyttelse gennem standardindstillinger, artikel 25, stk. 2? Ø Fremtidige systemers standardindstillinger skal indstilles, så de fremmer dataminimering og formålsspecifik behandling Ø Eksisterende it-systemer hvor standardindstillingerne ikke kan ændres: Ingen nye krav til it-systemet pr. den 25. maj 2018 Ø Eksisterende it-systemer hvor standardindstillingerne kan ændres: Virksomheden er pr. den 25. maj 2018 forpligtet til at ændre systemets standardindstillinger på en måde, der understøtter forordningens krav om bl.a. formålsspecifik behandling

Q&A om konsekvensanalyse

Q Hvornår er der krav om gennemførelse af en konsekvensanalyse? ØDe fleste behandlinger af personoplysninger vil ikke være omfattet af kravet om en konsekvensanalyse ØDog når en type behandling af personoplysninger sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder

Q Hvornår er der krav om gennemførelse af en konsekvensanalyse? En virksomhed skal foretage en konsekvensanalyse ved: Øen systematisk og omfattende vurdering af personlige forhold der er baseret på automatisk behandling, herunder profilering Øbehandling i et stort omfang af særlige kategorier af oplysninger Øsystematisk overvågning af et offentligt tilgængeligt område i et stort omfang Bemærk: det er ikke et krav, at den dataansvarlige udarbejder konsekvensanalyse i forhold til allerede eksisterende systemer

Q Skal der udføres en konsekvensanalyse for hver enkelt behandlingsaktivitet? v Der stilles ikke krav i forordningen om, at der skal udarbejdes konsekvensanalyser for hver enkelt behandlingsaktivitet Ø Ø Én konsekvensanalyse kan omfatte: flere lignende behandlingsaktiviteter flere systemer med samme behandling af oplysninger Flere virksomheder kan udarbejde en fælles konsekvensanalyse, når: tilnærmelsesvis den samme type systemer og behandlingsaktivitet

Q Kan den dataansvarlige blive forpligtet til at gennemføre en fornyet konsekvensanalyse? Ø Ja, hvis risikoen ændrer sig Eksempel: ü formålet med behandlingen ændres eller ü der skal behandles andre personoplysninger, f.eks. at der nu behandles følsomme oplysninger Der skal ikke foretages en ny konsekvensanalyse, når: Ø Behandlingen overgår til en ny databehandler eller underdatabehandler

Q&A om dataansvarlige og databehandlere

Q Hvad er den dataansvarlige ansvar? Den dataansvarliges ansvar er det samme, som man kender det i dag: >> Man skal have styr på sin behandling af personoplysninger << OBS på påvisningskrav: Ø Man skal kunne påvise, at ens behandling er i overensstemmelse med forordningen Ø Dette kan gøres ved at efterleve fortegnelseskravet i artikel 30 Ø Der er ikke krav om, at der udarbejdes en dataflow analyse af ens behandling Ø Adfærdskodeks eller certificering

Q Hvad er databehandlerens ansvar? Ø Databehandleren får nye forpligtelser med forordningen: Ø Fortegnelser over behandlingsaktiviteter Ø Underretning ved sikkerhedsbrister Ø Evt. DPO Ø Flere og mere detaljerede krav til databehandleraftaler Ø Eksplicitte betingelser for, hvornår en databehandler må benytte sig af underdatabehandlere Ø Kan ifalde erstatningsansvar over for de registrerede personer

Q&A om personoplysninger, behandlingshjemler og håndtering af de registreredes rettigheder

Q Hvad er en personoplysning? Ø Samme som i dag: Ø Identificeret fysisk person Ø Identificerbar fysisk person, f.eks. pseudonymiserede oplysninger ØAlle midler, der med rimelighed kan tænkes anvendt af den dataansvarlige eller en anden person til direkte eller indirekte at identificere. Hensyn til omkostninger, tid og teknologi. Ø Seneste fra EU-Domstolen: dynamiske ip-adresser er personoplysninger

Q Hvad er betingelserne for et gyldigt samtykke? Ø Et samtykke er det samme som i dag: Ø Et frivilligt, specifik, informeret og utvetydig ja (viljestilkendegivelse). Stiltiende samtykke utilstrækkeligt Ø Ikke nødvendigvis krav om skriftligt samtykke Ø Men den dataansvarlige skal som i dag kunne påvise (bevise), at der foreligger et gyldigt samtykke Ø Ret til at trække samtykke tilbage. Gyldighedsbetingelse for samtykket, at man er oplyst om tilbagetrækningsmuligheden. Ikke eksplicit krav herom i dag

Q Hvad er betingelserne for et gyldigt samtykke? Betingelserne for et samtykke præciseres i forordningens artikel 7 Ø Stk. 4 (ny): Der skal i vurderingen af det frivillige samtykke tages størst muligt hensyn til, om opfyldelse af en kontrakt er gjort betinget af et samtykke til behandling af personoplysninger, som ikke er nødvendig for kontrakten Ø Et samtykke i kontraktsforhold kan mao. normalt ikke angå behandling af oplysninger til andet end opfyldelse af selve kontrakten

Q Hvad med de eksisterende nationale særregler? Forordningens artikel 6, stk. 2 og 3, artikel 9, stk. 2, og særligt præambelbetragtning nr. 10 viser: ØSelvom det er en forordning ØDer er et meget vidt råderum for medlemsstaterne til at opretholde + indføre nationale regler om behandling af personoplysninger ØF.eks. regler om indsamling, videregivelse, tavshedspligt mv.

Q De registreredes rettigheder Retten til dataportabilitet (artikel 20) Ø En ny rettighed til at modtage og transmittere data fra én virksomhed til en anden Ø Alene, hvis behandlingen er baseret på et samtykke/kontrakt og foretages automatisk Ø Art. 29-gruppen-eks.: liste over sine kontaktpersoner fra webmail-udbyder eller eksisterende spillelister fra musikstreamingstjeneste Ø Oplysningerne skal modtages i struktureret, almindeligt anvendt og maskinlæsbart format Ø Ret til direkte transmission til anden dataansvarlig, hvis teknisk muligt

Q De registreredes rettigheder Retten til indsigt (artikel 15) Ø Overordnet ikke en ændring af gældende ret Ø Dvs. registrerede har ret til indsigt hos private virksomheder om, hvorvidt der behandles oplysninger om vedk. og om Øformålet, eventuelle modtagere, oplysning om, hvorfra oplysningerne stammer mv. Ø Ikke i sig selv nogen undtagelsen i forordningen kræver national lovgivning efter artikel 23 Ø Men mon ikke lovgiver vil overveje en ny PDL 32, stk. 1: vige for afgørende hensyn til private interesser?

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback