Nyheder inden for persondataretten Birgitte Toxværd og Susanne Stougaard 1
Dagens emner FAQ ASNEF-dommen fra EU-Domstolen Ny bekendtgørelse med undtagelser til anmeldelse til Datatilsynet Ny procedure hos Datatilsynet ved overførsler til tredjelande Forordningsudkast indhold og proces 2
Frequently Asked Questions 3
FAQ Må vi søge efter informationer om kandidater på Google og sociale medier som Facebook? Skal en jobkandidat samtykke til, at vi ringer til referencer? Hvor længe må vi opbevare oplysninger om fratrådte medarbejdere? Må medarbejderes elektroniske postkasser holdes åbne efter fratræden? Må vi tilgå medarbejderes elektroniske postkasser mhp. kontrol ved konkret mistanke om svindel? 4
FAQ Skal medarbejdere oplyses om referater af ledelsens evalueringssamtaler, som lægges på personalesagerne? Hvis vi skal oprette en whistleblower-ordning i 15 lande i og uden for EU, hvilke landes lovgivninger skal vi så overholde? Bring Your Own Device Ordet er frit.. 5
C-468-10 ASNEF og C-469/10 FECEMD 6
Direktiv 95/46 Artikel 7 Medlemsstaterne fastsætter bestemmelser om, at behandling af personoplysninger kun må finde sted, hvis: a) der ikke hersker tvivl om, at den registrerede har givet sit samtykke eller [ ] f) behandlingen er nødvendig, for at den registeransvarlige eller den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, kan forfølge en legitim interesse, medmindre den registreredes interesser eller de grundlæggende rettigheder og frihedsrettigheder, der skal beskyttes i henhold til artikel 1, stk. 1, i dette direktiv, går forud herfor. 7
Den spanske implementering Ley Orgánica (lov nr. 15/1999) vedrørende beskyttelse af personoplysninger og Kongelig anordning 1720/2007 bestemmer, at der bl.a. ikke kræves samtykke: [...] når oplysningerne fremgår af offentligt tilgængelige kilder, og når behandlingen er nødvendig for, at den registeransvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en legitim interesse, forudsat at den registreredes grundlæggende rettigheder og frihedsrettigheder ikke tilsidesættes. (vores fremhævelse) 8
To præjudicielle spørgsmål Skal artikel 7, litra f), i [ ] direktiv 95/46 [ ] fortolkes således, at den er til hinder for en national lovgivning, som, i tilfælde af at den registrerede ikke har givet sit samtykke, og for at muliggøre behandlingen af den pågældendes personoplysninger, som er nødvendig for, at den registeransvarlige eller de tredjemænd, til hvem de videregives, kan forfølge en legitim interesse, kræver, ud over at den registreredes grundlæggende rettigheder og frihedsrettigheder ikke krænkes, at oplysningerne er opført i offentligt tilgængelige kilder? Hvis nej: Har direktivets art. 7 direkte virkning? 9
ASNEF spørgsmål 1 Præmis 29 Det er således blevet fastslået, at harmoniseringen af de nævnte nationale lovgivninger ikke er begrænset til en minimumsharmonisering, men fører til en harmonisering, der i princippet er fuldstændig. Præmis 30 Herefter følger det af formålet, som består i at sikre et ensartet beskyttelsesniveau i alle medlemsstaterne, at artikel 7 fastsætter en udtømmende og fuldstændig liste over de tilfælde, hvor behandling af personoplysninger kan anses for at være lovlig. 10
ASNEF spørgsmål 1, forts. Præmis 32 Heraf følger, at medlemsstaterne hverken kan tilføje nye principper eller fastsætte supplerende krav, som ændrer rækkevidden af et af de seks principper, der er fastsat i denne artikel. Præmis 35 Det er således vigtigt at sondre mellem nationale foranstaltninger, som fastsætter supplerende krav, der ændrer rækkevidden af et i artikel 7 i direktiv 95/46 fastsat princip, på den ene side, og nationale foranstaltninger, som blot præciserer et af disse principper, på den anden side. Den første type nationale foranstaltninger er forbudt. 11
ASNEF spørgsmål 2 Præmis 51. Domstolens faste praksis, at borgerne i alle tilfælde, hvor bestemmelserne i et direktiv ud fra et indholdsmæssigt synspunkt fremstår som ubetingede og tilstrækkeligt præcise, kan påberåbe sig disse bestemmelser for de nationale domstole over for staten,. Præmis 52 artikel 7, litra f), i direktiv 95/46 er en bestemmelse, som er tilstrækkelig præcis til, at den kan påberåbes af en borger og anvendes af de nationale domstole.. 12
Direktivet Persondataloven Art. 8(7) Personnummer Personnummer 11 Art. 8(1-4) Racemæssig el. etnisk baggrund, politisk, religiøs el. filosofisk overbevisning, fagforening, helbredsmæssige og seksuelle forhold Racemæssig el. etnisk baggrund, politisk, religiøs el. filosofisk overbevisning, fagforening, helbredsmæssige og seksuelle forhold 7 Art. 8(5+6) Strafbare forhold Strafbare forhold, væsentlige sociale problemer, andre rent private forhold 8 Art. 7 Almindelige oplysninger, herunder væsentlige sociale problemer, andre rent private forhold Almindelige oplysninger 6 13
Begrebet samtykke Direktivets artikel 7 Der hersker ikke tvivl om, at den registrerede har givet sit samtykke Direktivets artikel 8 Den registrerede har udtrykkeligt givet sit samtykke Persondatalovens 6, 7 og 8 Udtrykkeligt samtykke 14
Videregivelse af oplysninger om forbrugere Persondatalovens 6, stk. 2-4 2. En virksomhed må ikke videregive oplysninger om en forbruger til en anden virksomhed til brug ved markedsføring eller anvende oplysningerne på vegne af en anden virksomhed i dette øjemed, medmindre forbrugeren har givet sit udtrykkelige samtykke hertil. 3. Videregivelse og anvendelse som nævnt i stk. 2 kan dog ske uden samtykke, hvis der er tale om generelle kundeoplysninger, der danner grundlag for inddeling i kundekategorier, og hvis betingelserne i stk. 1, nr. 7, er opfyldt. 4. Der kan efter stk. 3 ikke videregives eller anvendes oplysninger som nævnt i 7 og 8. Justitsministeren kan fastsætte yderligere begrænsninger i adgangen til at videregive eller anvende bestemte typer af oplysninger efter stk. 3. Direktiv art 7 Genfindes ikke 15
Direktiv 95/46 Artikel 14 Den registreredes indsigelsesret Medlemsstaterne indrømmer den registrerede ret til a) [generel insigelsesret] b) efter anmodning og uden udgifter at modsætte sig en behandling af personoplysninger, der vedrører den pågældende, og som den registeransvarlige agter at foretage med henblik på markedsføring, eller at blive underrettet, inden personoplysningerne første gang videregives til tredjemand eller anvendes på tredjemands vegne med henblik på markedsføring, og udtrykkelig få tilbud om uden udgifter at gøre indsigelse mod en sådan videregivelse eller anvendelse. 16
Semifølsomme oplysninger (private) Væsentlige sociale problemer og andre rent private forhold Persondatalovens 8 (bl.a) Direktivets art. 7 4. berettiget interesse klart overstiger hensynet til den registrerede. (tilsvarende ved videregivelse i pkt. 5) f) alm. interesseafvejning 6. Hvis betingelserne i 7 er opfyldt Udgår og erstattes af: Opfyldelse af aftale og forud herfor Dataansvarliges retlige forpligtelse Opgave i samfundets interesse Offentlig myndighedsudøvelse 17
Persondataloven om tredjelande 27, stk. 1: Overførsel af oplysninger til et sikkert tredjeland 27, stk. 2. Vurderingen af beskyttelsesniveauet i tredjelande 27, stk. 3: Specifikke muligheder for overførsler til usikre tredjelande 1) Samtykke 2) Opfyldelse af aftaler ml. registrerede og dataansvarlig 3) Opfyldelse af aftaler ml. dataansvarlig og andre 4) Vigtige samfundsinteresser eller retskrav 5) Vitale interesser 6) Offentlige registre 7) Strafbare forhold og strafferetlig forfølgning 27, stk. 4: Tilladelse baseret på tilstrækkelige garantier (Kommissionens standardkontrakter og Binding Corporate Rules) 18
Persondataloven om tredjelande 50, stk. 1 Krav om Datatilsynets forudgående tilladelse til behandlinger, som er omfattet af anmeldelsespligten i 48, i følgende tilfælde: 1) Følsomme oplysninger 2) Advarselsregistre 3) Kreditoplysningsvirksomhed 4) Stillingsbesættende virksomhed 5) Retsinformationssystemer 50, stk. 2 Ved overførsel af oplysninger som nævnt i stk. 1 til tredjelande i medfør af 27, stk. 1, og stk. 3, nr. 2-4, skal Datatilsynets tilladelse indhentes til overførslen, uanset at behandlingen i øvrigt er undtaget fra anmeldelse i medfør af 49, stk. 1. 19
Direktivet om anmeldelse KAPITEL II ALMINDELIGE BETINGELSER FOR LOVLIG BEHANDLING AF PERSONOPLYSNINGER AFDELING IX ANMELDELSE Artikel 20 Forudgående kontrol 1. Medlemsstaterne præciserer, hvilke behandlinger der kan indebære særlige risici for personers rettigheder og frihedsrettigheder, og sikrer, at disse behandlinger kontrolleres, inden de iværksættes.... 20
Direktivet om tredjelande KAPITEL IV OVERFØRSLER TIL TREDJELANDE Artikel 25 Principper 1. Medlemsstaterne fastsætter bestemmelser om, at videregivelse til et tredjeland af personoplysninger,, kun må finde sted, hvis det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, og forudsat at de nationale bestemmelser, der vedtages til gennemførelse af direktivets øvrige bestemmelser, overholdes. 6. Kommissionen kan fastslå, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau. Medlemsstaterne træffer de foranstaltninger, der er nødvendige for at efterkomme Kommissionens afgørelse. 21
Direktivet om tredjelande Artikel 26 Undtagelser 2. Med forbehold af stk. 1, kan en medlemsstat give tilladelse til videregivelse eller en type videregivelse af personoplysninger til et tredjeland, der ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med artikel 25, stk. 2, hvis den registeransvarlige yder tilstrækkelige garantier for beskyttelse af privatlivets fred, personers grundlæggende rettigheder og frihedsrettigheder samt for udøvelsen af de dertil knyttede rettigheder; sådanne garantier kan især fremgå af passende kontraktbestemmelser. 22
Kommissionens FAQ om overførsler til tredjelande 7. WHAT ARE THE CONDITIONS TO BE RESPECTED FOR TRANSFERRING PERSONAL DATA TO SUCH THIRD COUNTRIES ENSURING AN ADEQUATE LEVEL OF PROTECTION ACCORDING TO A COMMISSION DECISION? Any transfer of personal data to third countries recognised as ensuring an adequate level of protection or to companies that have signed up to the Safe Harbor principles may take place without any additional condition over and above those for transfer to a third party or to a processor located within the EU/EEA as laid down in your national data protection act. The data protection laws of all Member States are available here. No additional authorisation of your national data protection authority is needed in this particular case as Member States are bound to comply with the decisions of the Commission in this field. 23
PAUSE Det nuværende regelsæt beskyldes for at være svært at forstå og det problem bliver desværre ikke mindre i det nye. Det er ikke en pixibog! Janni Christoffersen, Direktør i Datatilsynet om det nye udkast til en persondataforordning 24
Ny undtagelsesbekendtgørelse Ny procedure for ansøgning om tilladelse til overførsler til tredjelande 25
Ny undtagelsesbekendtgørelse for private Bekendtgørelse nr.??/2012 med ikrafttræden (forventet) 1. maj 2012 Anmeldelsespligten i PDL 48 omfatter ikke (bortset fra 50, stk. 2) 1) Behandling af oplysninger om ansattes fagforeningsmæssige tilhørsforhold i forbindelse med aftaler om kontingentindeholdelse 2) Behandling af personoplysninger om kunder, som foretages i virksomheder omfattet af lov om finansiel virksomhed 26
Ny undtagelsesbekendtgørelse (fortsat) Anmeldelsespligten i PDL 48 omfatter ikke (bortset fra 50, stk. 2): 3) Behandling af personoplysninger i forbindelse med a) kliniske forsøg med lægemidler b) kliniske afprøvninger af medicinsk udstyr c) sundhedsvidenskabelige forskningsprojekter d) pligtmæssig sikkerhedsovervågning af lægemidler og medicinsk udstyr 4) Virksomheder mv., der driver kontaktbureauer og hjemmesider om dating, når behandlingen sker med udtrykkeligt samtykke 27
Ny undtagelsesbekendtgørelse (fortsat) Anmeldelsespligten i PDL 48 omfatter ikke (bortset fra 50, stk. 2): 5) Behandling af personoplysninger, som foretages af studerende under arbejdet med projekt- og specialeopgaver mv. som led i deres professions-, bachelor- eller kandidatuddannelse, når behandlingen sker med udtrykkeligt samtykke 6) Virksomheders indhentelse og interne behandling af personoplysninger fra et centralt privat register, der er godkendt af Rigspolitiet til at modtage og videreformidle oplysninger om restaurationsforbud 28
Ny procedure for overførsler til tredjelande Ny procedure hos Datatilsynet pr. 26. januar 2012 Ansøgninger om tilladelse til overførsel baseret på Kommissionens standardkontrakter indsendes til tilsynet ved brug af en særlig blanket I blanketten afkrydses bl.a., om der er foretaget konkrete ændringer i forhold til EU-kontrakten. Hvis der ikke er foretaget ændringer, skal kontrakten ikke indsendes til tilsynet, og Datatilsynets tilladelse kan forventes meddelt inden for 4 uger. Ellers skal kontrakten indsendes med en oversigt over ændringerne. Grundlæggende tilladelser skal være på plads 29
Udkast til forordning om persondata 30
Udkast til forordning Officielt udkast udsendt af EU-kommissionen den 25. januar 2012 Nuværende persondatadirektiv er fra 1995 og tiderne skifter.. Cloud computing, sociale netværk, tjenester til børn Direktivet har ikke skabt den ønskede harmonisering i EU Sanktionsniveau varierende Valget mellem forordning og direktiv Forordningen præget af mange delegerende retsakter til Kommissionen 31
Lempelser for SMV er (grænse ved 250 ansatte) Dokumentationskrav (art. 28) Udpegning af Data Protection Officer (med mindre kerneaktivitet) (art. 35) Sanktioner ved førstegangsovertrædelser (art. 79) 32
Geografisk anvendelsesområde (art. 3) Dataansvarlige og databehandlere i EU i det omfang oplysningerne behandles i forbindelse med aktiviteter i EU (også selvom i et tredjeland) Dataansvarlige uden for EU, når behandlingen relaterer sig til behandling af oplysninger om personer med bopæl i EU i forbindelse med udbud af varer eller tjenesteydelser til disse overvågning af disses adfærd Dataansvarlige uden for EU som følge af internationale lovvalgsregler 33
One stop shop (art. 51) Når personoplysninger behandles i forbindelse med aktiviteter, der gennemføres af en registeransvarligs eller registerførers virksomhed i Unionen, og den registeransvarlige eller registerføreren er etableret i mere end én medlemsstat, er tilsynsmyndigheden i den medlemsstat, hvor den registeransvarliges eller registerførerens hovedvirksomhed er etableret, ansvarlig for at kontrollere den registeransvarliges eller registerførerens behandlingsaktiviteter i alle medlemsstater, uden at dette berører bestemmelserne i denne forordnings kapitel VII. 34
Almindelige personoplysninger (art. 6) I hovedsagen samme struktur som nuværende direktiv Afvejningsreglen må ikke bruges af offentlige myndigheder Samtykke skal være udtrykkeligt (explicit) 35
Følsomme oplysninger Barn under 18 år (art. 4) tilbud om informationssamfundstjenester til børn under 13 år (art. 8) Race eller etnisk oprindelse Politisk, religiøs eller filosofisk overbevisning Fagforeningsmæssigt tilhørsforhold Genetiske data Helbredsoplysninger eller oplysninger om seksuelle forhold Straffedomme Tilknyttede sikkerhedsforanstaltninger Alle art. 9 36
Samtykke Betragtning 25 Statement eller clear affirmative action Including ticking a box when visiting an Internet website or by any other statement or conduct which clearly indicates in this context the data subject s acceptance Betragtning 34 Ej anvende samtykke ved væsentlig ubalance i styrkeforholdet mellem den dataansvarlige og den registrerede Arbejdsgiver og arbejdstager Offentlig myndigheder, der som følge af dens relevante offentlige beføjelser kan pålægge en forpligtelse, og samtykket ikke kan skønnes at være afgivet frivilligt under hensyntagen til den registreredes interesser 37
Ansættelsesforhold TEUF afsnit X, art. 153-155 ret til at udstede direktiver Regler der forsvinder: PDL 1, stk. 2: systematisk behandling PDL 8: Straffedomme bliver følsomme oplysninger PDL 11: personnumre PDL 50: advarselsregistre Anmeldelse af personaleadministration De nye regler: Samtykke ubrugeligt i ansættelsesforhold fremover? Data Protection Officer beskyttelse mod opsigelse 38
Ansættelsesforhold Det kollektive system Kan DA/LO aftale om kontrolforanstaltning 6 ugers fristen opretholdes? DA/LO samarbejdsaftalen - inddragelse af samarbejdsudvalg Art. 82 (1): mulighed for fravigelse af bestemmelserne i forordningen indenfor forordningens rammer Art. 82 (3): kommissionen tildeles stor magt 39
The right to be forgotten (art. 17) Retten til at kræve, at personoplysninger slettes, hvis der ikke (længere) er hjemmel til at behandle oplysningerne Hvis den dataansvarlige har gjort personoplysninger offentligt tilgængelige, skal den dataansvarlige take all reasonable steps, including technical measures for at informere tredjeparter, der behandler oplysningerne, om, at den registrerede ønsker oplysningerne slettet Gælder ikke hvis, det er umuligt eller disproportionalt at informere tredjeparter (art. 13) 40
Right to data portability (art. 18) Ret til at få en kopi af data Forudsætter at der er tale om almindeligt anerkendte dataformater Forbud at lægge hindringer i vejen Betaling? Samarbejdspligt mellem leverandører? Betragtning 15? 41
Dataansvarliges forpligtelser (art. 22) Implementering af policies og passende foranstaltninger Implementere sikkerhedskrav Opbevare dokumentation for alle behandlinger af personoplysninger medmindre ikke-erhvervsmæssig behandling foretaget af fysisk person Impact assessments Tilladelse fra nationale datatilsyn til grundlæggende behandling og evt. overførsler til tredjelande 42
Code of Conduct (art. 38) Adfærdskodekser indenfor de forskellige behandlingssektorer Bidrager til korrekt anvendelse af forordningen Skal udarbejdes af Associations and other bodies representing categories of controllers or processors in one Member State Udtalelse fra tilsynsmyndigheden Kommissionen kan godkende og offentliggøre adfærdskodekser, som herefter er gældende i EU 43
Privacy by design (art. 23) Fremtidens kontrakt? The system offers numerous features the use of which must be brought to the attention of the customer. The use may also require the explicit prior consent of the data subject. The customer must ensure that the various functionalities of the system are used in conformity with applicable law in regards to the data concerned. In this respect, the customer must reconcile the default settings with legislative requirements. 44
Breach notification (art. 31) 24 timers regel (om muligt) Pligt til at informere nationalt datatilsyn om brud på datasikkerhed Hvad er der sket Kategorier af oplysninger Antallet af oplysninger Kontaktdetaljer på DPO Anbefalede foranstaltninger til afhjælpning skadevirkninger Beskrivelse af konsekvenser af bruddet Beskrivelse af foreslåede eller iværksatte foranstaltninger iftm. Bruddet Information til den registrerede 45
Data Protection Officer (art. 35) Alle offentlige myndigheder og Virksomheder med mindst 250 ansatte Ansættes for 2-årig periode, snævre muligheder for opsigelse Overvej behov: outsourcing af funktion, intern ressource eller et team 46
Overførsel til tredjelande (art. 41-44) Overførsel uden tilladelse Sikre tredjelande, område eller international organisation Usikre tredjelande Godkendte Binding Corporate Rules Kommissionens standardkontrakter Specifikke undtagelser (bortset fra interesseafvejning med informationspligt) Overførsel betinget af tilladelse Parternes egne klausuler (usikre tredjelande) Overførsel ej tilladt Blokeringsliste over usikre tredjelande 47
Consistency (art. 57) Datatilsynet European Data Protection Board Kommissionen 48
Sanktioner (art. 77-79) Påbud Advarsler Erstatning til skadelidte Tre niveauer for administrative bøder Op til 250.000 EUR/op til 0,5% af årlige globale omsætning Op til 500.000 EUR/op til 1% af årlige globale omsætning Op til 1.000.000 EUR/op til 2% af årlige globale omsætning 49
Konsekvenser History Kreditoplysningsbureauer (ikke for juridiske personer) Advarselsregistre (ikke for juridiske personer) 6 ugers frist i DL/LO-aftaler? Erstatningsansvarslovens 26 om godtgørelse for tort? Og meget mere! 50
Partner Mette Klingsten Ansættelsesret mkl@bechbruun.com Mobil +45 25 26 35 20 Partner Arly Carlquist IP & Technology ac@bechbruun.com Mobil +45 25 26 34 62 Advokat Susanne Stougaard Ansættelsesret sus@bechbruun.com Mobil +45 25 26 33 08 Specialistadvokat Birgitte Toxværd IP & Technology bit@bechbruun.com Mobil +45 25 26 33 84 51