Nye regler på vej Status på arbejdet med databeskyttelsesforordningen. 8. november 2017

Relaterede dokumenter
Retsudvalget, Retsudvalget L 68 endeligt svar på spørgsmål 4, L 69 endeligt svar på spørgsmål 4 Offentligt

Stormøde om databeskyttelsesforordningen - og betænkning nr juni 2017

Rigsarkivets konference 2. november 2016

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007)

Retsudvalget, Retsudvalget L 68 endeligt svar på spørgsmål 7, L 69 endeligt svar på spørgsmål 7 Offentligt

Persondataforordningen - set med danske øjne

PERSONDATAFORORDNING - at blive klar til. Kirkeministeriets syn på den nye Persondataforordning FDK temadag i Vejle - 19.

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

Introduktion til persondataforordning

Databeskyttelsesforordningen og dansk forskning. v/ chefkonsulent Kim Taasby & jurist Anahita Khatam-Lashgari 24. maj 2018

Justitsministeriet Slotsholmsgade København K Danmark

Folketinget Retsudvalget Christiansborg 1240 København K DK Danmark

Orientering om databeskyttelsesforordningen. Sundhedsstrategisk Forum Onsdag den 21. marts 2018

Retsudvalget, Retsudvalget L 68 endeligt svar på spørgsmål 6, L 69 endeligt svar på spørgsmål 6 Offentligt

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Europaudvalget EUU Alm.del EU Note 27 Offentligt

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2011 efter vedtagelse af L 145)

Uddrag af lov om behandling af personoplysninger

Persondataforordningen

GML-HR A/S CVR-nr.:

Persondataforordningen. Hvad kan vi bruge KITOS til?

En introduktion til de kommende, nye regler om beskyttelse af personoplysninger

GDPR og arkivloven. Poul Olsen, DPO, Rigsarkivet

EN DAG OM PERSONDATAFORORDNINGEN. STU Foreningen. 7. december 2017

1. udkast. Betænkning

Retsudvalget, Retsudvalget L 68 Bilag 20, L 69 Bilag 20 Offentligt

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.]

Persondataforordningen den 20. februar 2018

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Vejledning om informationssikkerhed

DANVA, Dansk Vand- og Spildevandsforening. Godthåbsvej Skanderborg. og

Retsudvalget, Retsudvalget L 68 endeligt svar på spørgsmål 16, L 69 endeligt svar på spørgsmål 16 Offentligt

Lector ApS CVR-nr.:

Komiteen for Sundhedsoplysning CVR-nr.:

SENESTE NYT OM PERSONDATA. Birthe Boisen, juridisk konsulent

POLITIK FOR DATABESKYTTELSE

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

Retsudvalget, Retsudvalget L 68 endeligt svar på spørgsmål 96, L 69 endeligt svar på spørgsmål 96 Offentligt

BILAG 14: DATABEHANDLERAFTALE

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

Forslag til Lov om ændring af lov om arbejdsskadesikring i Grønland

Regler om persondata Koordinatormøde den 28. nov. 2017

PERSONDATAFORORDNINGEN STATUS???? OG ER DER NOGET NYT I DEN?

Forsikring & Pension Philip Heymans Allé Hellerup

EU Persondataforordning GDPR

Introduktion til persondataforordningen PSF temadag d , lektor Dorthe Høilund, Metropol

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2

Relationen dataansvarlig/ databehandler. v/rami Chr. Sørensen

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

Plan og Handling CVR-nr.:

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Persondatapolitik for Aabenraa Statsskole

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Persondatapolitik for Tørring Gymnasium 2018

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

Retsudvalget L 68 Bilag 4 Offentligt

Fysiske personer. Vi ved jo alle, hvad en person er. Det er sådan en som os selv (Peter Blume: Databeskyttelsesret, 4. udg., 2013, s. 30f.

Overblik over Justitsministeriets betænkning og de væsentligste ændringer i persondataforordningen

Persondatapolitik Vordingborg Gymnasium & HF

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

Persondatapolitik på Gentofte Studenterkursus

Persondatareguleringen. Hvorfor, hvornår, systemet og lidt om maj 2018

Databeskyttelsesdagen

Persondata politik for GHP Gildhøj Privathospital

Bilag A Databehandleraftale pr

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Retsudvalget, Retsudvalget L 68 endeligt svar på spørgsmål 13, L 69 endeligt svar på spørgsmål 13 Offentligt

1. Oplysningspligt overfor den registrerede hvor oplysningerne indsamles hos den registrerede

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

Bilag 3 Personoplysninger Den registrerede Behandling af personoplysninger Dataansvarlig Databehandler Brud på persondatasikkerheden

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Aftale vedrørende fælles dataansvar

Retsudvalget L 68 endeligt svar på spørgsmål 2 Offentligt

Hvad betyder den nye persondataforordning for udvikling og brug af digitale sundhedsløsninger, og hvem har ansvaret for overholdelse?

Vilkår for behandling af personoplysninger

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

Procedure for håndtering af personoplysninger - GDPR Denne udgave: /TW

Kontraktbilag 3. Databehandleraftale

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

N. Zahles Skole Persondatapolitik

Forslag til folketingsbeslutning om Danmarks tilslutning på mellemstatsligt grundlag til EU s direktiv om databeskyttelse på retshåndhævelsesområdet

Indholdsfortegnelse. Forord 19 ALMINDELIG DEL 21

HÅNDTERING AF HENVENDELSER VEDRØRENDE REGISTREREDES RETTIGHEDER

Forslag. Lovforslag nr. L 68 Folketinget Fremsat den 25. oktober 2017 af justitsministeren (Søren Pape Poulsen) til

Høring over udkast til forslag til databeskyttelsesloven

Hvordan er det med datasikkerhed og privacy? Highlights fra persondataloven Århus, d. 14. marts 2017 Erika Wolf, jurist, Sundhedsdatastyrelsen

Bilag B Databehandleraftale pr

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Der er desuden i forhold til bekendtgørelsesudkastet foretaget enkelte ændringer af redaktionel karakter.

Standardvilkår. Databehandleraftale

Transkript:

Nye regler på vej Status på arbejdet med databeskyttelsesforordningen 8. november 2017

Program Baggrunden for betænkningen Betænkningens hovedkonklusioner og konkrete nedslag Det kommende lovforslag Vejledninger Spørgsmål

Betænkning 1565

Forordningen I januar 2012 fremsatte EU-Kommissionen forslag til en databeskyttelsespakke. Pakken blev endeligt vedtaget den 14. april 2016. Pakken består navnlig af den generelle forordning nr. 2016/679 om beskyttelse af personoplysninger, som skal gælde i både den private og offentlige sektor (databeskyttelsesforordningen). Forordningen anvendes fra den 25. maj 2018. Herudover består databeskyttelsespakken af et direktiv om beskyttelse af personoplysninger, som skal gælde for retshåndhævelsesområdet. Dette direktiv er gennemført i dansk ret ved lov nr. 410 af 27. april 2017 om retshåndhævende myndigheders behandling af personoplysninger (gælder for politi, anklagemyndigheden, kriminalforsorgen mv.).

Betænkning nr. 1565 Formål: Sikre korrekt gennemførelse i dansk ret Analysere rammerne for både indførelse og opretholdelse af nationale særregler Danne grundlag for ny version af persondatalov Centralt fortolkningsbidrag til dette arbejde Det retlige grundlag for udarbejdelse af praktisk anvendelige vejledninger

Betænkningens opbygning Betænkningens indeholder bl.a. en nærmere analyse af den gældende retstilstand og forordningens bestemmelser, herunder forordningens rammer for nationale særregler. Første del af betænkningen er opdelt i kapitler, som svarer til kapitlerne i databeskyttelsesforordningen. Kapitlerne er endvidere opdelt i afsnit, der hovedsageligt er opdelt efter artiklerne i forordningen.

Betænkningens opbygning Hvert afsnit indeholder en redegørelse for gældende ret i databeskyttelsesdirektivet og persondataloven med inddragelse af relevante kilder såsom praksis fra EU- Domstolen og Datatilsynet, diverse udtalelser fra Artikel 29-gruppen samt Registerudvalgets betænkning. Herefter er der i hvert afsnit under overskriften databeskyttelsesforordningen en nærmere analyse af de pågældende bestemmelser i forordningen.

Betænkningens centrale pointer Analysearbejdet har vist, at forordningen i vidt omfang svarer til den gældende retstilstand efter persondataloven og databeskyttelsesdirektivet med tilhørende praksis fra bl.a. EU-Domstolen og Datatilsynet. På den baggrund vil der for myndigheder og private organisationer, der i forvejen lever op til persondataloven, ikke med forordningen være tale om omfattende ændringer. Er det tilfældet?

Betænkningens centrale pointer Derudover indeholder forordningen nyskabelser, eksempelvis regler om: databeskyttelsesrådgivere (DPO ere), konsekvensanalyse, fortegnelser over behandlingsaktiviteter samt en udtrykkelig bestemmelse om data protection by design. Forordningen har oplagt skabt awareness for reglerne givetvis bl.a. pga. risikoen for større bøder for overtrædelse af forordningens bestemmelser Men analysearbejdet viser tydeligt, at der med de nye regler alene er tale om en evolution ikke en revolution

4 vigtige trin Er vi inden for forordningens anvendelsesområde? Er der hjemmel til behandlingen? Er de grundlæggende principper overholdt? Håndtering af registreredes rettigheder Behandlingssikkerhed

Forordningen svarer i vidt omfang til gældende ret ingen revolution

Forordningens art. 5 svarer til persondatalovens 5 De grundlæggende principper for lovlig behandling i forordningens artikel 5 svarer til de gældende principper lovlighed, rimelighed og gennemsigtighed formålsbegrænsning dataminimering rigtighed opbevaringsbegrænsning integritet og fortrolighed

Forordningen svarer i vidt omfang til gældende ret Anvendelsesområde Definitioner Hjemmel til behandling for almindelige og følsomme personoplysninger i artikel 6 og 9 De registreredes rettigheder svarer også stort set til de gældende regler Behandlingssikkerhed Overførsel til tredjelande Erstatning

Forordningens nationale råderum Forordningens artikel 6, stk. 2 og 3, artikel 9, stk. 2, og særligt præambelbetragtning nr. 10 Der er et meget vidt råderum for medlemsstaterne til at opretholde + indføre nationale regler om behandling af personoplysninger F.eks. regler om indsamling, videregivelse, tavshedspligt mv. Betænkningens del II: gennemgang af de mange danske særregler om behandling, f.eks. lov om finansiel virksomhed m.fl.

Lovforslag

Men må man overhovedet have en national lov ved siden af en EU-forordning? (1) Instinktivt er svaret vel nej En forordning gælder jo umiddelbart i DK som en lov eller bekendtgørelse Men en gennemgang af databeskyttelsesforordningen afslører et helt andet billede på dette område

Men må man overhovedet have en national lov ved siden af en EU-forordning? (2) Fire kasser Bestemmelser, fx art. 6, stk. 2 og 3, art. 9, stk. 2-4, og art 88 og 90, der giver medlemsstaterne mulighed for at udfylde med egne behandlingsregler Bestemmelser, fx art. 8, stk. 1, og art. 37, der giver medlemsstaterne eksplicitte muligheder for at foretage nogle valg Bestemmelserne, art 23 og artikel 89, stk. 2 og 3, hvorefter medlemsstaterne kan fastsætte regler om begrænsninger og undtagelser til en række forpligtelser og rettigheder Bestemmelser, fx art 51, stk. 1 og 3, hvorefter medlemsstaterne skal gennemføres ved lov af medlemsstaterne.

Forordningens nationale råderum (1) Forordningens artikel 6, stk. 2 og 3, artikel 9, stk. 2, og særligt præambelbetragtning nr. 10 Denne forordning indeholder også en manøvremargen, så medlemsstaterne kan præcisere reglerne heri, herunder for behandling af særlige kategorier af personoplysninger ("følsomme oplysninger"). Denne forordning udelukker således ikke, at medlemsstaternes nationale ret fastlægger omstændighederne i forbindelse med specifikke databehandlingssituationer, herunder mere præcis fastlæggelse af de forhold, hvorunder behandling af personoplysninger er lovlig. (uddrag af præambelbetragtning 10)

Forordningens nationale råderum (2) Der er et meget vidt råderum for medlemsstaterne til at opretholde + indføre nationale regler om behandling af personoplysninger F.eks. regler om indsamling, videregivelse, tavshedspligt mv. Betænkningens del II: gennemgang af de mange danske særregler om behandling, f.eks. lov om finansiel virksomhed m.fl.

Lovforslaget til en ny databeskyttelseslov (1) Justitsministeriet har vurderet, at det er nødvendigt, at der fastsættes en generel lov, som supplerer reglerne i databeskyttelsesforordningen. Formålet er derfor at supplere reglerne i forordningen (forordningen er bilag til lovforslaget) Bl.a. nødvendigt for: A. at den gældende retstilstand så vidt muligt kan opretholdes, eksempelvis muligheden for at undtage oplysninger fra oplysningspligten og indsigtsretten (aktivering af artikel 23) B. samt muligheden for efter en række nærmere betingelser at behandle følsomme oplysninger

Indholdet af lovforslaget Hvornår. Loven og databeskyttelsesforordningen gælder for al behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register. ( 1, stk. 2) Anden lovgivning. Regler om behandling af personoplysninger i anden lovgivning, som ligger inden for databeskyttelsesforordningens rammer for særregler om behandling af personoplysninger, går forud for reglerne i denne lov ( 1, stk. 3)

Indholdet af lovforslaget Tv-overvågning. Loven og databeskyttelsesforordningen gælder for enhver form for behandling af personoplysninger i forbindelse med tv-overvågning ( 2, stk. 4) Oplysninger om afdøde personer. Oplysninger om afdøde personer beskyttes i op til 10 år fra de pågældendes død. Kan ændres i op- eller nedadgående retning eller slet ikke ved bekendtgørelse ( 2, stk. 5-6) Krigsreglen i en ny version. Justitsministeren kan efter forhandling med vedkommende minister fastsætte regler om, at personoplysninger, der behandles i nærmere bestemte IT-systemer, og som føres af eller for den offentlige forvaltning, alene må opbevares her i landet. En begrænsning af den nugældende krigsregel og dermed en mere fleksibel retstilstand ( 3, stk. 9)

Indholdet af lovforslaget Geografisk område. Loven og regler udstedt i medfør af loven gælder for behandling af personoplysninger, som foretages som led i aktiviteter, der udføres for en dataansvarlig eller en databehandler, som er etableret i Danmark, uanset om behandlingen finder sted i EU. ( 4, stk. 1) Loven og regler udstedt i medfør af loven gælder for behandling af personoplysninger om registrerede, der befinder sig i Danmark, og som foretages af en dataansvarlig eller databehandler, der ikke er etableret i EU, hvis behandlingsaktiviteterne vedrører: a) udbud af varer eller tjenester til sådanne registrerede, der befinder sig i Danmark, uanset om betaling fra den registrerede er påkrævet, eller b) overvågning af sådanne registreredes adfærd, for så vidt deres adfærd finder sted i Danmark. ( 4, stk. 3)

Indholdet af lovforslaget Øget mulighed for genanvendelse i den offentlige digitale forvaltning. I bekendtgørelsesform kan der fastsættes nærmere regler om, at personoplysninger må viderebehandles af offentlige myndigheder til andre formål, end de oprindeligt var indsamlet til, uafhængigt af formålenes forenelighed. Hensigten hermed er at åbne op for muligheden for øget og effektiv videreanvendelse, genbrug og datadeling af personoplysninger i forbindelse med digital forvaltning. Helbredsoplysninger på sundhedsområdet ikke omfattet. ( 5, stk. 3) Samkøring i kontroløjemed. Kræver ikke længere særskilt lovhjemmel. (Forudsat i bemærkningerne)

Indholdet af lovforslaget Børns brug af hjemmesider, apps m.v. Der sættes en aldersgrænse for samtykke fra børn og unge til brug af informationssamfundstjenester til 13 år ( 6, stk. 2) Indskrænkning af kategorien for følsomme personoplysninger. Oplysninger om væsentlige sociale problemer og andre private forhold udgør i dag følsomme personoplysninger omfattet af persondatalovens 8. Med lovudkastet vil disse oplysningstyper ikke længere være følsomme personoplysninger

Indholdet af lovforslaget Videregivelse af personoplysninger på det sociale område. Den nugældende persondatalov indeholder i lovens 8, stk. 3, en særlig skærpet regel om offentlige myndigheders videregivelse af følsomme personoplysninger på det sociale område. Lovudkastet opretholder ikke en bestemmelse svarende til persondatalovens 8, stk. 3 Værktøjskasse for behandlingssikkerhed m.v. Lovudkastet indeholder en række konkrete eksempler på sikkerhedsforanstaltninger, som dataansvarlige kan bruge for at sikre overholdelse af loven og forordningen en såkaldt værktøjskasse. Inspiration i sikkerhedsbekendtgørelsen

Indholdet af lovforslaget CPR-nummer. De nugældende regler om behandling af CPR-nummer videreføres i alt væsentligt. Dog gives private i modsætning til i dag mulighed for at behandle personoplysninger, når betingelserne i lovudkastets 7 er opfyldt. ( 11) Der indføres en særlig hjemmel for behandling af personoplysninger i ansættelsesforhold. I dag behandles personoplysninger på det ansættelsesretlige område i medfør af de almindelige behandlingsregler i persondatalovens 6-8. I udkastet fastsættes imidlertid en særlig bestemmelse om behandling af personoplysninger i ansættelsesforhold. ( 12)

Indholdet af lovforslaget Videreførelse af regler om: Retsinformation ( 9) Forskning og statistik ( 10) Udvidelse i 10, stk. 5. Markedsføring ( 13) Arkiv ( 14) Kreditoplysning ( 15-21)

Indholdet af lovforslaget Undtagelser fra den registreredes rettigheder Lovforslagets 22-23 Udmøntning af artikel 23 22, stk. 1, bestemmelserne i artikel 13, stk. 1-3, artikel 14, stk. 1-4 og artikel 15 gælder ikke, hvis den registreredes interesse i oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv

Indholdet af lovforslaget Undtagelser fra den registreredes rettigheder 22, stk. 2, undtagelse fra bestemmelserne i artikel 12-15 kan tillige gøres, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til offentlige interesser, herunder f.eks.: Statens sikkerhed Forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner mv. Forebyggelse, efterforskning, afsløring og retsforfølgning i forbindelse med brud på etiske regler for lovregulerede erhverv Kontrol, tilsyns, eller reguleringsfunktioner forbundet med offentlig myndighedsudøvelse Håndhævelse af civilretlige krav

Indholdet af lovforslaget Datatilsynets bødebeføjelser. Datatilsynet kan ikke selvstændigt udstede administrative bøder, som har karakter af en strafferetlig sanktion denne kompetence henhører unde de danske domstole. Datatilsynet får dog mulighed for at udstede bødeforelæg i egnede sager Bøder til offentlige myndigheder. 41, stk. 6. Fravigelse af straffelovens 27, stk. 2. Bødeloft på 2 eller 4 % af driftsbevillingen og maksimalt 8 eller 16 mio. kr. Forudsætning at forhøjelsen af bødeniveauet bliver lavere for offentlige myndigheder. Alternativ til bøder. Ikke en forudsætning, at der gives bøder. Tilsynsmyndigheden kan vælge et påbud.

Den videre proces

Fremover Lovforslag til ny databeskyttelseslov fremsat 25. oktober (L 68) 1. behandling 16. november Loven skal træde i kraft 25. maj 2018

Vejledninger Adfærdskodeks Betænkningen vil ikke komme til at stå alene Centralt med praktisk anvendelige vejledninger Disse vil blive udarbejdet i samarbejde mellem Justitsministeriet og Datatilsynet Fokus på eksempler

Vejledninger Generel informationspjece om forordningen september 2017 Databeskyttelsesrådgiver september 2017 Vejledning om overførsler af personoplysninger til 3. lande september 2017 Databehandlere og dataansvarlige oktober 2017 Samtykke oktober 2017 Fortegnelse november 2017 Adfærdskodekser og certificeringsordninger december 2017 Behandlingssikkerhed december 2017 Databeskyttelse gennem design og standardindstillinger december 2017 Konsekvensanalyse december 2017 Cloud computing december 2017 Håndtering af brud på persondatasikkerhed januar 2018 Registreredes rettigheder januar 2018 Vejledning på det ansættelsesretlige område februar 2018

?

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback