Nyt om persondata Birgitte Toxværd, advokat 1
C-468-10 ASNEF og C-469/10 FECEMD 2
Oplysningskategorier Personnummer 11 Racemæssig el. etnisk baggrund, politisk, religiøs el. filosofisk overbevisning, fagforening, helbredsmæssige og seksuelle forhold 7 Strafbare forhold, væsentlige sociale problemer, andre rent private forhold, fx selvmordsforsøg, registreret partnerskab samt personligheds- og færdighedstest 8 Fx navn, adresse, fødselsdato, titel, telefonnummer, e-mailadresse, købshistorik, IP-adresse, faktureringsoplysninger, familieforhold, bolig, bil og stilling 6 3
Behandling af almindelige oplysninger 6, stk. 1 1) Udtrykkelige samtykke 2) Aftale 3) Retlig forpligtelse, som påhviler den dataansvarlige 4) Vitale interesser 5) Opgave i samfundets interesse 6) Offentlig myndighedsudøvelse 7) Interesseafvejning Særregel for videregivelse af oplysninger om forbrugere i 6, stk. 2-4. 4
Direktiv 95/46 om interesseafvejning Artikel 7 f) behandlingen er nødvendig, for at den registeransvarlige eller den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, kan forfølge en legitim interesse, medmindre den registreredes interesser eller de grundlæggende rettigheder og frihedsrettigheder, der skal beskyttes i henhold til artikel 1, stk. 1, i dette direktiv, går forud herfor. Spansk lov når oplysningerne fremgår af offentligt tilgængelige kilder, og når behandlingen er nødvendig for, at den registeransvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en legitim interesse, forudsat at den registreredes grundlæggende rettigheder og frihedsrettigheder ikke tilsidesættes. 5
To præjudicielle spørgsmål Skal artikel 7, litra f), i [ ] direktiv 95/46 [ ] fortolkes således, at den er til hinder for en national lovgivning, som,, kræver, ud over at den registreredes grundlæggende rettigheder og frihedsrettigheder ikke krænkes, at oplysningerne er opført i offentligt tilgængelige kilder? Har direktivets art. 7, litra f direkte virkning? EU-Domstolen: JA og JA 6
Direktivet Persondataloven Art. 8(7) Personnummer Personnummer 11 Art. 8(1-4) Racemæssig el. etnisk baggrund, politisk, religiøs el. filosofisk overbevisning, fagforening, helbredsmæssige og seksuelle forhold Racemæssig el. etnisk baggrund, politisk, religiøs el. filosofisk overbevisning, fagforening, helbredsmæssige og seksuelle forhold 7 Art. 8(5+6) Strafbare forhold Strafbare forhold Væsentlige sociale problemer Andre rent private forhold 8 Art. 7 Almindelige oplysninger, herunder væsentlige sociale problemer, andre rent private forhold Almindelige oplysninger 6 7
Videregivelse af oplysninger om forbrugere Persondatalovens 6, stk. 2-4 2. En virksomhed må ikke videregive oplysninger om en forbruger til en anden virksomhed til brug ved markedsføring eller anvende oplysningerne på vegne af en anden virksomhed i dette øjemed, medmindre forbrugeren har givet sit udtrykkelige samtykke hertil. 3. Videregivelse og anvendelse som nævnt i stk. 2 kan dog ske uden samtykke, hvis der er tale om generelle kundeoplysninger, der danner grundlag for inddeling i kundekategorier, og hvis betingelserne i stk. 1, nr. 7, er opfyldt. 4. Der kan efter stk. 3 ikke videregives eller anvendes oplysninger som nævnt i 7 og 8. Justitsministeren kan fastsætte yderligere begrænsninger i adgangen til at videregive eller anvende bestemte typer af oplysninger efter stk. 3. Direktivets art. 7 6, stk. 1 (se forrige slide) 8
Væsentlige sociale problemer og private forhold (private) Nuværende 8 (inkl. 7) PDL 6, stk. 1 / direktivets art. 7 Udtrykkelige samtykke Berettiget interesse klart overstiger hensynet til den registrerede Vitale interesser, når ej selv er i stand til at give tilsagn Oplysninger offentliggjort af den registrerede Retskrav kan fastlægges, gøres gældende eller forsvares Særregler om fagforeninger, ideelle foreninger, sundhedssektoren mv. Offentlig myndighed på det strafferetlige område Udtrykkelige samtykke Alm. interesseafvejning Vitale interesser Opfyldelse af aftale og forud herfor Dataansvarliges retlige forpligtelse Opgave i samfundets interesse Offentlig myndighedsudøvelse Vigtige samfundsmæssige interesser (tilladelse) 9
Sikre tredjelande Dansk særregel om krav om tilladelse fra Datatilsynet ved overførsler af fx følsomme oplysninger til sikre tredjelande ( 50, stk. 2) Kommissionens FAQ om overførsler til sikre tredjelande No additional authorisation of your national data protection authority is needed in this particular case as Member States are bound to comply with the decisions of the Commission in this field. 10
Vores bud på de væsentligste ændringer Persondatalovens 6, stk. 2-4 bortfortolkes; mulig lempelse i forhold til at behandle oplysninger til brug for markedsføring af tredjemand Oplysninger om væsentlige sociale forhold og andre private oplysninger behandles efter persondatalovens 6, stk. 1; dog stadig anmeldelse af grundlæggende behandlinger Overførsler til sikre tredjelande kræver ikke forudgående tilladelse fra Datatilsynet (heller ikke ved følsomme oplysninger mv.), jf. 50, stk. 2 Loven er dog ikke blevet ændret, og det er uvist om den bliver det. Indtil videre bør I derfor følge persondataloven, medmindre I er villige til at udfordre retsstillingen ved domstolene 11
Forordningsudkastet 12
Udkast til forordning Persondataloven mv. forsvinder og erstattes af forordningen Officielt udkast udsendt af EU-kommissionen den 25. januar 2012 Nuværende persondatadirektiv er fra 1995 og tiderne skifter Cloud computing, sociale netværk, tjenester til børn Direktivet har ikke skabt den ønskede harmonisering i EU Sanktionsniveau varierende Valget mellem forordning og direktiv 13
One stop shop (art. 51) Klar og tiltrængt lempelse for internationale virksomheder Databehandling i forbindelse med aktiviteter i EU, når den dataansvarlige eller databehandleren er etableret i mere end én medlemsstat Tilsynsmyndigheden i den medlemsstat, hvor hovedvirksomheden er etableret skal kontrollere behandlingsaktiviteter i alle medlemsstater 14
Data Protection Officer (art. 35) Data Protection Officer får en central rolle i virksomheden i forhold til compliance og undervisning Alle offentlige myndigheder og Virksomheder med mindst 250 ansatte Ansættes for 2-årig periode, snævre muligheder for opsigelse Overvej behov: outsourcing af funktion, intern ressource eller et team 15
Almindelige personoplysninger (art. 6) Ikke de store ændringer generelt for private virksomheder I hovedsagen samme struktur som nuværende direktiv Afvejningsreglen må ikke bruges af offentlige myndigheder eller over for børn Samtykke skal være udtrykkeligt (explicit) 16
Samtykke Slut med samtykke i ansættelsesforhold? Statement eller clear affirmative action Including ticking a box when visiting an Internet website or by any other statement or conduct which clearly indicates in this context the data subject s acceptance of the proposed processing of their personal data Ej anvende samtykke ved væsentlig ubalance i styrkeforholdet mellem den dataansvarlige og den registrerede 17
Ansættelsesforhold Art. 82 (1): Mulighed for fravigelse af bestemmelserne i forordningen inden for forordningens rammer Det kollektive system Kan DA/LO aftale om kontrolforanstaltning 6 ugers fristen opretholdes? DA/LO samarbejdsaftalen - inddragelse af samarbejdsudvalg 18
Oplysningspligt (art. 11) Nuværende samtykkeblanketter og persondatapolitikker opdateres Identitet og kontaktoplysninger for den dataansvarlige, evt. repræsentant og DPO Formål, herunder kontraktvilkår og generelle betingelser (art 6(1)(b)), og legitime interesser (artikel 6(1)(f)) Tidsrum for opbevaring Indsigtsretten og retten til berigtigelse Sletning af personoplysninger og indsigelsesretten Klageretten og kontaktinfo til tilsynsmyndighed Modtagere eller kategorier deraf Ved overførsel til et tredjeland/int. organisation: beskyttelsesniveau Yderligere relevante informationer 19
The right to be forgotten (art. 17) Reglen findes allerede men vil nok blive håndhævet mere Retten til at kræve, at personoplysninger slettes, hvis der ikke (længere) er hjemmel til at behandle oplysningerne Videre informationspligt, hvis den dataansvarlige har gjort personoplysninger offentligt tilgængelige Med mindre det er umuligt eller disproportionalt (art. 13) 20
Right to data portability (art. 18) Kræver nye procedurer for udlevering af oplysninger Ret til at få en kopi af data udleveret når der er tale om almindeligt anerkendte dataformater Formålet er at lette et skift mellem leverandører 21
Dataansvarliges forpligtelser (art. 22) Omfattende nye krav til compliance Implementering af policies, passende foranstaltninger og sikkerhedskrav Impact assessments Dokumentation for alle behandlinger af personoplysninger Anmeldelse/tilladelse til behandling og evt. til overførsler til tredjelande 22
Code of Conduct (art. 38) Relevant for brancheorganisationer og deres medlemmer Adfærdskodekser inden for de forskellige behandlingssektorer Skal sikre korrekt anvendelse af forordningen Skal udarbejdes af Associations and other bodies representing categories of controllers or processors in one Member State Godkendelse af tilsynsmyndigheden Kommissionen kan godkende og offentliggøre adfærdskodekser, som herefter er gældende i EU 23
Privacy by design and by default (art. 23) Banebrydende for udvikling og brug af it Generelt krav til implementering af passende tekniske og organisatoriske foranstaltninger og procedurer til sikring af at forordningen overholdes Systemer skal understøtte, at oplysninger ikke behandles til andre formål eller længere end nødvendigt Fx at oplysninger ikke er tilgængelige for et ubegrænset antal personer 24
Breach notification (art. 31) Streng orienteringspligt 24 timers regel (om muligt) Pligt til at informere nationalt datatilsyn om brud på datasikkerhed Hvad er der sket, kategorier og antal Anbefalede foranstaltninger til afhjælpning skadevirkninger Beskrivelse af konsekvenser af bruddet Beskrivelse af foreslåede eller iværksatte foranstaltninger iftm. Bruddet Information til registrerede 25
Overførsel til tredjelande (art. 41-44) Lempelse for overførsler til sikre tredjelande og ved brug af standardkontrakterne til usikre tredjelande Overførsel uden tilladelse Sikre tredjelande, område eller international organisation Usikre tredjelande Godkendte Binding Corporate Rules Kommissionens standardkontrakter Specifikke undtagelser (bortset fra interesseafvejning med informationspligt) Blokeringsliste over usikre tredjelande! 26
Consistency (art. 57) Datatilsynet får en mere proaktiv og vejledende rolle European Data Protection Board og Kommissionen bliver en slags overmyndigheder for en lang række afgørelser truffet af nationale datatilsyn 27
Sanktioner (art. 77-79) Påbud Advarsler Erstatning til skadelidte Tre niveauer for administrative bøder Op til 250.000 EUR/op til 0,5% af årlige globale omsætning Op til 500.000 EUR/op til 1% af årlige globale omsætning Op til 1.000.000 EUR/op til 2% af årlige globale omsætning 28
De største foreslåede ændringer One stop shop Slut med samtykke i ansættelsesforhold? IT-systemer (eksisterende og nye) skal understøtte forordningen Implementering af sikkerhedsforanstaltninger Alle medarbejdere skal følge procedurer DPO får en aktiv rolle Lempelse ved overførsler til tredjelande Kontakt til Datatilsynet, når det går galt Kæmpe bøder 29