Persondataloven i Grønland Februar 2017 Oplæg fra Datatilsynet ved kommitteret, cand.jur., Birgit Kleis specialkonsulent, cand.jur., Helle Ginnerup-Nielsen 1
Dagens program Datatilsynet Persondataloven: Definitioner, forholdet til anden lovgivning, anvendelsesområde mv. Behandlingsregler Overførsel af oplysninger til tredjelande Registreredes rettigheder Anmeldelsesordningen Datasikkerhed 2
Datatilsynet Datatilsynet fører tilsyn med enhver behandling, der er omfattet af lov om behandling af personoplysninger. Det er altså Datatilsynets opgave at påse, at behandling finder sted i overensstemmelse med loven og regler udstedt i medfør af loven. Datatilsynet udøver sine funktioner i fuld uafhængighed. Datatilsynet har en finanslovsmæssig og personalemæssig tilknytning til Justitsministeriet, men hverken Justitsministeriet eller andre offentlige myndigheder har instruktionsbeføjelse over for Datatilsynet. 3
Datatilsynets opgaver og funktioner Vejledning Behandling af klagesager Anmeldelsesordningen Tilsyn, herunder inspektioner Egen drift-sager Høringer over påtænkt lovgivning mv. (love, bekendtgørelser mv.) Besvarelse af folketingsspørgsmål Internationalt samarbejde 4
Regler Persondataloven (Anordning om ikrafttræden for Grønland af lov om behandling af personoplysninger) Sikkerhedsbekendtgørelsen Undtagelsesbekendtgørelserne for offentlige og private dataansvarlige Kriminalregisterbekendtgørelsen Vejledning til sikkerhedsbekendtgørelsen Rettighedsvejledningen -o0o- 5
Generelt om persondataloven Tværgående/generel regulering myndigheder, virksomheder, foreninger mv. omfattet Gælder som udgangspunkt al behandling af personoplysninger Stiller krav ved behandling af personoplysninger OBS: Ny forordning får virkning i Danmark fra den 25. maj 2018 6
Lovens indhold Kapitel 1: Anvendelsesområde Kapitel 2: Definitioner Kapitel 3: Lovens geografiske område Kapitel 4: Behandlingsregler Kapitel 5-6: Særlige regler om kreditoplysninger Kapitel 7: Overførsel af oplysninger til tredjelande Kapitel 8-10: Den registreredes rettigheder Kapitel 11: Behandlingssikkerhed Kapitel 12: Anmeldelse af behandlinger, der foretages for den offentlige forvaltning Kapitel 13: Anmeldelse af behandlinger, der foretages for en privat dataansvarlig Kapitel 14: Øvrige bestemmelser Kapitel 15: Datatilsynet Kapitel 16: Erstatningsansvar og kriminalretligt ansvar Kapitel 17: Afsluttende bestemmelser, herunder ikrafttrædelsesbestemmelser m.v. 7
Persondatalovens anvendelsesområde ( 1) Elektronisk databehandling og manuel behandling i registre, 1, stk. 1 Elektronisk databehandling, f.eks. o o ESDH-systemer, tekstbehandling, journalsystem, regneark, e-post og elektroniske kalendere, edb-registre, intranet, internet Opslag i registre, scanning, modtagelse af e-post Manuel behandling i registre, f.eks. o o Kartotekskasser, fortegnelser, ringbind (NB Manuelle sagsmapper i det offentlige er ikke omfattet) Biobanker NB 1, stk. 2: Loven gælder også for anden ikke-elektronisk systematisk behandling, som udføres for private, og som omfatter oplysninger om personers private eller økonomiske forhold eller i øvrigt oplysninger om personlige forhold, som med rimelighed kan forlanges unddraget offentligheden. Dette gælder dog ikke reglerne i lovens kapitel 8 (oplysningspligt) og 9 (indsigt). 8
Undtagelser til persondatalovens anvendelsesområde ( 2) 1. Anden lovgivning, der giver den registrerede bedre ret, eller hvis persondataloven er fraveget 2. EMRK artikel 10 ytringsfrihed 3. Aktiviteter af rent privat karakter (f.eks. dagbog, adressebog, slægtsforskning men ej på internettet) 4. Domstolene. Særregler for politi og anklagemyndighed. 5. Inatsisartut og institutioner med tilknytning dertil 6.-9. Medier og litterær virksomhed m.v. 10. Efterretningstjenesterne I øvrigt har en række retsområder snitflader til persondataloven, f.eks. vedrørende sundhed, markedsføring og den finansielle sektor. 9
Definitioner Persondatalovens 3, nr. 1. Personoplysninger 2. Behandling 3. Register med personoplysninger (register) 4. Den dataansvarlige 5. Databehandleren 6. Tredjemand 7. Modtager 8. Den registreredes samtykke 9. Tredjeland 10
Personoplysninger ( 3, nr. 1) Enhver form for information om en identificeret eller identificerbar fysisk person. Det vil sige oplysninger, der kan henføres til en bestemt, fysisk person. F.eks. navn, e-mailadresse, ip-adresse cpr-nummer eller et eller flere elementer, der er særlige for en person, herunder billede, stemme, fingeraftryk m.v. Afdøde er som udgangspunkt omfattet af lovens anvendelsesområde. Enkeltmandsejede virksomheder er omfattet af lovens anvendelsesområde. Anonymiserede oplysninger er ikke omfattet af lovens anvendelsesområde. NB: Strenge krav til anonymisering: Det må ikke være muligt for nogen med rimelige midler at finde ud af, hvem oplysningerne vedrører, f.eks. ved at sammenholde oplysninger fra flere kilder. Det er heller ikke nok, at et navn erstattes med en kode eller lign., hvis nogen har adgang til koden. 11
Behandling ( 3, nr. 2) Enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for. Omfatter enhver måde at håndtere oplysninger om personer på! F.eks.: Indsamling Registrering Opbevaring Brug (f.eks. internt i en forvaltning) Ajourføring Ændring Søgning Sammenstilling eller samkøring Videregivelse Sletning 12
Register ( 3, nr. 3) Enhver struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på et funktionsbestemt eller geografisk grundlag. F.eks.: Kartotekskasser Journalbøger Fortegnelser Systematiske ringbind 13
Dataansvarlig ( 3, nr. 4) Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger. Begrebet dataansvarlig svarer stort set til begrebet "den registeransvarlige i registerlovene. NB! Det er myndigheden eller virksomheden og ikke den enkelte medarbejder som er dataansvarlig for behandlingen af personoplysninger. 14
Dataansvar konsekvenser Den dataansvarlige skal sikre, at persondataloven overholdes, herunder At oplysningerne behandles lovligt (hjemmel) At de grundlæggende principper efterleves At datasikkerheden er tilstrækkelig At de registreredes rettigheder iagttages At anmeldelses- og tilladelseskrav iagttages NB Også ansvarlig for behandling ved databehandler Kan blive mødt med Kritik fra Datatilsynet (og anbefalinger og henstillinger) Eventuelle erstatningskrav (skal indbringes for domstolene) Private dataansvarlige kan modtage påbud og straffes for overtrædelse af persondataloven 15
Databehandler ( 3, nr. 5) Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne. F.eks. analysebureau, konsulent, revisor, (anden) myndighed, webhotel (e-mail). Dækker både atabehandlere og underdatabehandlere : Dataansvarlig Databehandler Under - databehandler Under - databehandler 16
Samtykke ( 3, nr. 8) Enhver frivillig, specifik og informeret viljestilkendegivelse, hvorved den registrerede indvilger i, at oplysninger, der vedrører den pågældende selv, gøres til genstand for behandling. Frivillig: Ingen tvang Specifik: Hvem der må behandle oplysningerne, hvilke oplysninger der må behandles og til hvilke formål Informeret: Hvad vil oplysningerne blive brugt til? Ingen krav om skriftlighed, men den dataansvarlige bærer bevisbyrden Skal være udtrykkeligt = ikke stiltiende Ingen lovbestemt tidsbegrænsning Kan tilbagekaldes, jf. 38 17
Betingelser for behandling af personoplysninger - Hjemmelskrav - Grundprincipper Persondatalovens kapitel 4: 5 om grundprincipper 6 om almindelige ikke-følsomme personoplysninger 7 om følsomme personoplysninger 8 om følsomme personoplysninger 9 om retsinformationssystemer 10 om forskning 11 om personnummer 12 om markedsføringsfortegnelser og kuverteringsbureauer 13 om forbud mod automatisk registrering af udgående telefonnumre 14 om overførsel til arkiv 18
Grundprincipper ( 5) 1. God databehandlingsskik: Databehandlingen skal være rimelig og lovlig 2. Formålsbestemthed: Indsamling skal ske til udtrykkeligt angivne og saglige formål. Senere behandling må ikke være uforenelig 3. Proportionalitet: Relevante og tilstrækkelige oplysninger. Ikke mere end nødvendigt 4. Datakvalitet: Ajourføring og kontrol. Sletning eller berigtigelse af oplysninger, der viser sig urigtige eller vildledende 5. Sletning: Må ikke opbevares længere end nødvendigt 19
Typer af personoplysninger Racemæssig eller etnisk baggrund. Politisk, religiøs eller filosofisk overbevisning. Helbredsmæssige og seksuelle forhold. 7 følsomme oplysninger Kriminalretlige forhold, væsentlige sociale problemer og andre rent private forhold. F.eks.: selvmordsforsøg, seksuelt misbrug, førtidspensionist, bortvisning, personlighedstest. 8 fortrolige, men ikke følsomme oplysninger Almindelige ikkefølsomme oplysninger 6 Personnummer (CPR) Resten: Alle personoplysninger, som ikke er følsomme eller personnumre. F.eks.: Økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold, bolig, bil, eksamen, ansøgning, CV, ansættelsesdato, stilling, arbejdsområde samt stamoplysninger som navn, adresse, fødselsdato, telefonnummer etc. 11 6 20
Almindelige ikke-følsomme personoplysninger ( 6) Behandling af oplysninger må finde sted, hvis der er indhentet samtykke (som er i overensstemmelse med 3, nr. 8), det er nødvendig for en aftale, f.eks. ansættelse, der er en retlig forpligtelse, som skal overholdes f.eks. en anden lov, det er nødvendigt for den registreredes vitale interesser, det er en opgave i samfundets interesse f.eks. forskning, det er offentlig myndighedsudøvelse eller den dataansvarlige har en berettiget interesse, der overstiger den registreredes (interesseafvejningsreglen). 21
Fortrolige 6-oplysninger Bemærk, at visse ikke-følsomme personoplysninger omfattet af 6 er fortrolige dette har bl.a. betydning ved anmeldelse. Eksempler: Sygefravær, kildeskat, pensionsforhold, lønindeholdelse. NB: Personoplysninger, som ikke kan nægtes udleveret efter reglerne i offentlighedsloven, vil ikke være af fortrolig karakter. 22
Følsomme personoplysninger ( 7) Hovedregel: Forbud mod behandling af oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold ( 7, stk. 1). Undtagelser( 7, stk. 2-7), f.eks. hvis der er indhentet udtrykkeligt samtykke, det er nødvendigt for vitale interesser, oplysningerne er offentliggjort af den registrerede selv, eller behandling nødvendig for at retskrav kan fastlægges, gøres gældende eller forsvares (bl.a. myndighedsudøvelse) patientbehandling mv. Vigtigt: For den offentlige forvaltning må der ikke føres edb-registre med oplysninger om politiske forhold, som ikke er offentligt tilgængelige ( 7, stk. 8). Det vil sige, at oplysninger om politiske tilhørsforhold normalt slet ikke må behandles i myndigheders ESDH-systemer. 23
Andre følsomme personoplysninger ( 8) Kriminalretlige forhold, væsentlige sociale problemer og andre rent private forhold end de i 7, stk. 1, nævnte. Disse oplysninger må kun behandles, hvis en af betingelserne i lovens 7 eller 8 er opfyldt. 8 indeholder en interesseafvejningsregel dog strengere end efter 6. Bemærk: Forskellige betingelser i 8 for offentlige og private dataansvarlige og særlige betingelser for videregivelse. 24
Specielle behandlingsregler 9 Retsinformationssystemer (f.eks. samling af afgørelser på hjemmeside) 10 Forskning og statistik 11 Personnumre 12 Adresserings- og kuverteringsbureauer 13 Registrering af telefonnumre 14 Arkiv 25
Persondatalovens 10 Behandling af 7- og 8-oplysninger til statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning Ej krav om samtykke gode muligheder for forskning VIGTIGT: Oplysningerne må kun anvendes til forskning/statistik bordet fanger (stk. 1 og 2) Videregivelse fra forskning kræver tilladelse fra Datatilsynet (stk. 3) Anonymisering/pseudonymisering 26
Overførsel af oplysninger til tredjelande ( 27) Tredjeland ( 3, nr. 9): En stat, som ikke indgår i Det Europæiske Fællesskab, og som ikke har gennemført aftaler, der er indgået med Det Europæiske Fællesskab, og som indeholder regler svarende til databeskyttelsesdirektivet. - EU + Norge og Island ej tredjelande. Det er vigtigt at være opmærksom på, at der gælder særlige betingelser ved overførsel af personoplysninger til tredjelande (også sikre tredjelande). Find nærmere vejledning på Datatilsynets hjemmeside. 27
Den registreredes rettigheder persondatalovens afsnit III Pligt for den dataansvarlige til at give oplysninger om behandlingen (grundlaget for de øvrige rettigheder) Ret til indsigt i oplysninger om en selv (f.eks. i elektronisk personalesag) Ret til at gøre indsigelse mod behandlingen den dataansvarlige skal tage stilling og svare Ret til at kræve urigtige oplysninger rettet, slettet eller blokeret Ret til at tilbagekalde et samtykke Ret til at modsætte sig automatiske afgørelser Ret til at klage til Datatilsynet 28
Oplysningspligt ( 28 og 29) Den dataansvarlige skal på eget initiativ oplyse om Den dataansvarliges identitet Formålene med behandlingen Eventuelle yderligere oplysninger Hvornår henholdsvis 28 og 29? Når man får oplysninger af den registrerede selv 28 Når man får oplysninger om den registrerede fra andre 29 Hvordan skal oplysningerne gives? Ingen formkrav, ej heller skriftlighed Oplysningspligten opfyldes af egen drift Kun pligt til underretning én gang ved løbende indsamling 29
Undtagelse fra oplysningspligten i 28-tilfælde Den registrerede er allerede bekendt med de oplysninger, der skal gives Eksempel: Den registrerede retter uopfordret henvendelse og kender den dataansvarliges identitet og formålet 30
Undtagelse fra oplysningspligten i 29-tilfælde Den registrerede er allerede bekendt med de oplysninger, der skal gives Registrering eller videregivelse er udtrykkeligt fastsat ved lov Underretning er umulig eller uforholdsmæssig vanskelig registreredes interesse i at modtage underretning har behandlingen konsekvenser? oplysningernes alder og karakter antallet af registrerede den dataansvarliges arbejdsindsats 31
Undtagelse efter 30 OBS: Der skal meget til, før undtagelserne efter 30 kan bruges. Hvis den registreredes interesse i at få kendskab til oplysningerne burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv Hvis den registreredes interesse i at få kendskab til oplysningerne burde vige for afgørende hensyn til offentlige interesser, herunder navnlig til: statens sikkerhed forsvaret den offentlige sikkerhed forebyggelse, efterforskning, afsløring og retsforfølgning i kriminalsager mv. væsentlige økonomiske eller finansielle interesser hos Grønland eller en medlemsstat mv. kontrol-, tilsyns- eller reguleringsopgaver mv. som led i offentlig myndighedsudøvelse. 32
Den registreredes indsigtsret ( 31) Den registrerede har på begæring krav på oplysning om: 1) Hvilke oplysninger (om den registrerede selv) der behandles egen access 2) Behandlingens formål 3) Kategorierne af modtagere af oplysningerne 4) Tilgængelig information om, hvorfra oplysningerne stammer Kendes også fra offentlighedsloven og sagsbehandlingsloven. 33
Indsigtsbegæringer ( 31) Ingen formkrav til begæringen. Begæringen skal imødekommes snarest (uden større ventetid) og den registrerede skal underrettes, hvis der ikke kan svares inden 4 uger. Skriftligt svar, hvis der anmodes om det let forståeligt. Chikanebestemmelsen i 33 = 6 måneder mellem anmodninger, hvis ingen nye registreringer. 34
Begrænsninger i indsigtsretten ( 32) 30 (undtagelser til underretning efter 28 og 29) Undtagelse fra indsigtsret som efter offentlighedslovene bl.a. kriminalretlige sager, visse interne dokumenter mv. (stk. 2) Hvis udelukkende forskning eller statistik (stk. 3) 35
Generel indsigelsesret ( 35) Den registrerede kan til enhver tid gøre indsigelse mod behandling af oplysninger om vedkommende selv. Indsigelsen anses som berettiget og skal imødekommes, hvis der er tale om ulovlige behandlinger der anføres tungtvejende grunde mod behandlingen, der vedrører den registreredes individuelle situation f.eks. medarbejderoversigter på hjemmeside ved chikane. Undtagelser Behandling foreskrevet i lovgivningen Behandling i statistisk eller videnskabeligt øjemed 36
Urigtige eller vildledende oplysninger ( 37) Den registrerede kan kræve, at urigtige eller vildledende oplysninger om vedkommende selv berigtiges, slettes eller blokeres (stk. 1). Ingen formkrav Den dataansvarlige skal snarest tage stilling til en anmodning Det beror på en konkret vurdering, om urigtige eller vildledende oplysninger skal berigtiges, slettes eller blokeres Hvis oplysningerne ikke skal slettes, berigtiges eller blokeres, skal den dataansvarlige alligevel sørge for, at det i tilknytning til oplysninger fremgår, hvis den pågældende er uenig i en given faglig vurdering eller i indholdet af et referat m.v., jf. persondatalovens 5, stk. 1 og 4. Underretning til tredjemand om berigtigelse m.v., hvis den registrerede beder om det (stk. 2). 37
Anmeldelse til Datatilsynet offentlige myndigheder (lovens kapitel 12) Udgangspunkt: Alle behandlinger af følsomme og fortrolige oplysninger Undtagelser: o Personnumre o Undtagelsesbekendtgørelsen for den offentlige forvaltning Brug blanketter på Datatilsynets hjemmeside Ændringer skal også anmeldes Ikke krav om tilladelse, men hvis følsomme oplysninger, skal Datatilsynets udtalelse indhentes, før behandlingen iværksættes 38
Anmeldelse til Datatilsynet private dataansvarlige (lovens kapitel 13) Udgangspunkt: Alle behandlinger af følsomme oplysninger Undtagelser: o Lovens 49, f.eks. advokater og revisorer + personer med autorisation inden for sundhedsvæsenet (sygeplejersker mv.) o Undtagelsesbekendtgørelsen for private Brug blanketter på Datatilsynets hjemmeside Ændringer skal også anmeldes Krav om forudgående tilladelse. 39
Anmeldelse til Datatilsynet overgangsordning ( 71) For behandlinger af personoplysninger, som er iværksat før anordningens ikrafttræden (1. december 2016), skal reglerne i kapitel 12 og 13 være opfyldt senest den 1. december 2019. Behandlinger, der iværksættes efter anordningens ikrafttræden, skal derimod som udgangspunkt anmeldes forud for iværksættelsen. Hvis tvivl, så anmeld snarest også god lejlighed til at få overblik. 40
Behandlingssikkerhed ( 41, stk. 3) Den dataansvarlige skal træffe de tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes kommer til uvedkommendes kendskab misbruges eller behandles i strid med loven. Tilsvarende gælder for databehandlere. Offentlige myndigheder skal også overholde reglerne i sikkerhedsbekendtgørelsen. Se også vejledning til sikkerhedsbekendtgørelsen (vejl. nr. 37 af 2. april 2001). 41
Brug af databehandler ( 41 og 42) Den dataansvarlige skal ved overladelse af oplysninger til en databehandler påse, at sikkerheden er i orden. Hvis der benyttes en databehandler, skal der indgås en databehandleraftale, som skal være skriftlig, det skal bl.a. fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i bl.a. 41, stk. 3, også gælder for behandlingen ved databehandleren. Dataansvarlig Databehandleraftale Databehandleraftale Databehandler Under - databehandler 42
Behandlingssikkerhed sikkerhedsbekendtgørelsen 5 Interne uddybende sikkerhedsregler og myndighedens eget tilsyn 6 Instruktion af medarbejdere 7 Databehandleraftale og hjemmearbejdsplads 11-12 Autorisation og adgangskontrol 14 Eksterne kommunikationsforbindelser (forsendelse over internettet/e-mail) krav om kryptering Særlige bestemmelser om anmeldelsespligtige behandlinger (det vil som udgangspunkt sige følsomme og andre fortrolige oplysninger) 16-17 Autorisation og adgangskontrol 18 Kontrol med afviste adgangsforsøg 19 Logning og 30-dages-reglen 43
Behandlingssikkerhed hvad går typisk galt Organisatoriske forhold (hvem gør hvad hvornår) Menneskelige fejl Utilstrækkelige eller fejlbehæftede it-løsninger 44
Mere information På Datatilsynets hjemmeside kan du finde yderligere vejledning, anmeldelsesblanketter mv. Du kan også ringe til Datatilsynet og få hjælp. 45
www.datatilsynet.dk 46
Publikationer 47
Spørgsmål 48