Persondataloven i Grønland

Relaterede dokumenter
Forsikring & Pension Philip Heymans Allé Hellerup

Hvordan er det med datasikkerhed og privacy? Highlights fra persondataloven Århus, d. 14. marts 2017 Erika Wolf, jurist, Sundhedsdatastyrelsen

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.]

Uddrag af lov om behandling af personoplysninger

Rammer og vilkår for brug af data. 25. oktober 2016 Afdelingschef Birgitte Drewes,

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007)

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

Persondataloven og sundhedsvidenskabelige forskningsprojekter

Ecofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2011 efter vedtagelse af L 145)

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Specifik information om persondataloven

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Persondataloven kort fortalt

Tønder Kommune BILAG 10

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

Uddrag af persondataloven

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

Driftskontrakt. Databehandleraftale. Bilag 14

Persondataloven i en Smart City kontekst. Alexander Tureczek, Ph.d. candidate

DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr

N. Zahles Skole Persondatapolitik

HVOR GÅR DET GALT MED SIKKERHEDEN I KOMMUNER OG REGIONER? Lena Andersen, kontorchef i Datatilsynet

ELEKTRONISK VINDUESKIGGERI HVOR ER

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Anmeldelse af behandlinger der foretages for den offentlige forvaltning.

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]

Databeskyttelsesforordningen og dansk forskning. v/ chefkonsulent Kim Taasby & jurist Anahita Khatam-Lashgari 24. maj 2018

Borgerens rettigheder, når regionen behandler personoplysninger

Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren]

DATABEHANDLERAFTALE. Mellem. [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Retsudvalget REU Alm.del endeligt svar på spørgsmål 919 Offentligt

Datatilsynets vejledning om persondataloven for Grønland

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Incest, samleje eller anden kønslig omgang med børn under 15 år

DATABEHANDLERAFTALE Version 1.1a

hos statslige myndigheder

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Lov om Center for Cybersikkerhed

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Persondataforordningen

SÅDAN BEHANDLER NORDDJURS KOMMUNE DINE PERSONOPLYSNINGER

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Rigsarkivets konference 2. november 2016

EN DAG OM PERSONDATAFORORDNINGEN. STU Foreningen. 7. december 2017

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Udkast. til. anordning om ikrafttræden for rigsmyndighederne på Færøerne af lov om behandling af personoplysninger

Vejledning om videregivelse. af personoplysninger til brug for forskning og statistik

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Brugen af personoplysninger

Anmeldelsesskema for Videnskabelige og statistiske undersøgelser på SDU

Retningslinjer for behandling af personoplysninger m.v. i Center for Cybersikkerhed ved Forsvarets Efterretningstjeneste

Lov om behandling af personoplysninger 1)

Almindelig viden om persondataforordningen

Persondataloven - regler og praksis for god databehandlingsskik. Forskning med personoplysninger

Projektets titel. Projektets formål

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

Randers FCs Persondatapolitik, inkl. Din ret til indsigelse mod behandlingen af dine personoplysninger

Uanmodede henvendelser. Uanmodede henvendelser. Uanmodede henvendelser

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

Standardvilkår. Databehandleraftale

opfylde vores kontraktuelle forpligtelser over for dig, samt at

Anordning om ikrafttræden for Grønland af lov om behandling af personoplysninger

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

Bilag A Databehandleraftale pr

Lov om behandling af personoplysninger 1)

2016 Udgivet den 15. oktober oktober Nr Anordning om ikrafttræden for Grønland af lov om behandling af personoplysninger

Videoovervågning i kommunale anlæg

Lov om behandling af personoplysninger 1)

Vedrørende behandling af flypassagerers biometriske oplysninger i form af template af fingeraftryk

Surftown A/S. Regionsgolf-Danmark DATABEHANDLERAFTALE. Databehandleraftalen foreligger mellem. Regionsgolf-Danmark.

OPLYSNINGSSKRIVELSE. behandlingens formål m.v., førend Selmers Børnehus foretager en behandling af dine personoplysninger.

Introduktion til persondataforordning

Lov om behandling af personoplysninger 1)

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Kontraktbilag 3. Databehandleraftale

Dine rettigheder, når regionen behandler oplysninger om dig

Direkte markedsføring. Uanmodede henvendelser. Uanmodede henvendelser

PERSONDATABESKYTTELSESPOLITIK FOR ADVOKATFIRMAET KRARUP

Bilag B Databehandleraftale pr

Michael Teschl Etik Portalerne ApS Lotusvej København S. Sendt til:

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Persondatapolitik Vordingborg Gymnasium & HF

DATABEHANDLERAFTALE. [Dataansvarlig: F.eks. Hansen Håndværk ApS] [Adresse] ( Selskabet )

De oplysninger vi skal give dig er følgende:

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Ulrich Stigaard Jensen. Persondataloven og sagsbehandling i praksis

Retningslinje om de registreredes rettigheder

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

Vejledning til udfyldelse af anmeldelsesskema til Datatilsynet

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Databehandleraftale e-studio.dk Side 1 af 6

EU Persondataforordning GDPR

Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning i Grønland

Glentereden s persondata politik

Den Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".

Databehandleraftale. Mellem. Den dataansvarlige: Landbrugsstyrelsen CVR Nyropsgade København V. Danmark. Databehandleren.

Transkript:

Persondataloven i Grønland Februar 2017 Oplæg fra Datatilsynet ved kommitteret, cand.jur., Birgit Kleis specialkonsulent, cand.jur., Helle Ginnerup-Nielsen 1

Dagens program Datatilsynet Persondataloven: Definitioner, forholdet til anden lovgivning, anvendelsesområde mv. Behandlingsregler Overførsel af oplysninger til tredjelande Registreredes rettigheder Anmeldelsesordningen Datasikkerhed 2

Datatilsynet Datatilsynet fører tilsyn med enhver behandling, der er omfattet af lov om behandling af personoplysninger. Det er altså Datatilsynets opgave at påse, at behandling finder sted i overensstemmelse med loven og regler udstedt i medfør af loven. Datatilsynet udøver sine funktioner i fuld uafhængighed. Datatilsynet har en finanslovsmæssig og personalemæssig tilknytning til Justitsministeriet, men hverken Justitsministeriet eller andre offentlige myndigheder har instruktionsbeføjelse over for Datatilsynet. 3

Datatilsynets opgaver og funktioner Vejledning Behandling af klagesager Anmeldelsesordningen Tilsyn, herunder inspektioner Egen drift-sager Høringer over påtænkt lovgivning mv. (love, bekendtgørelser mv.) Besvarelse af folketingsspørgsmål Internationalt samarbejde 4

Regler Persondataloven (Anordning om ikrafttræden for Grønland af lov om behandling af personoplysninger) Sikkerhedsbekendtgørelsen Undtagelsesbekendtgørelserne for offentlige og private dataansvarlige Kriminalregisterbekendtgørelsen Vejledning til sikkerhedsbekendtgørelsen Rettighedsvejledningen -o0o- 5

Generelt om persondataloven Tværgående/generel regulering myndigheder, virksomheder, foreninger mv. omfattet Gælder som udgangspunkt al behandling af personoplysninger Stiller krav ved behandling af personoplysninger OBS: Ny forordning får virkning i Danmark fra den 25. maj 2018 6

Lovens indhold Kapitel 1: Anvendelsesområde Kapitel 2: Definitioner Kapitel 3: Lovens geografiske område Kapitel 4: Behandlingsregler Kapitel 5-6: Særlige regler om kreditoplysninger Kapitel 7: Overførsel af oplysninger til tredjelande Kapitel 8-10: Den registreredes rettigheder Kapitel 11: Behandlingssikkerhed Kapitel 12: Anmeldelse af behandlinger, der foretages for den offentlige forvaltning Kapitel 13: Anmeldelse af behandlinger, der foretages for en privat dataansvarlig Kapitel 14: Øvrige bestemmelser Kapitel 15: Datatilsynet Kapitel 16: Erstatningsansvar og kriminalretligt ansvar Kapitel 17: Afsluttende bestemmelser, herunder ikrafttrædelsesbestemmelser m.v. 7

Persondatalovens anvendelsesområde ( 1) Elektronisk databehandling og manuel behandling i registre, 1, stk. 1 Elektronisk databehandling, f.eks. o o ESDH-systemer, tekstbehandling, journalsystem, regneark, e-post og elektroniske kalendere, edb-registre, intranet, internet Opslag i registre, scanning, modtagelse af e-post Manuel behandling i registre, f.eks. o o Kartotekskasser, fortegnelser, ringbind (NB Manuelle sagsmapper i det offentlige er ikke omfattet) Biobanker NB 1, stk. 2: Loven gælder også for anden ikke-elektronisk systematisk behandling, som udføres for private, og som omfatter oplysninger om personers private eller økonomiske forhold eller i øvrigt oplysninger om personlige forhold, som med rimelighed kan forlanges unddraget offentligheden. Dette gælder dog ikke reglerne i lovens kapitel 8 (oplysningspligt) og 9 (indsigt). 8

Undtagelser til persondatalovens anvendelsesområde ( 2) 1. Anden lovgivning, der giver den registrerede bedre ret, eller hvis persondataloven er fraveget 2. EMRK artikel 10 ytringsfrihed 3. Aktiviteter af rent privat karakter (f.eks. dagbog, adressebog, slægtsforskning men ej på internettet) 4. Domstolene. Særregler for politi og anklagemyndighed. 5. Inatsisartut og institutioner med tilknytning dertil 6.-9. Medier og litterær virksomhed m.v. 10. Efterretningstjenesterne I øvrigt har en række retsområder snitflader til persondataloven, f.eks. vedrørende sundhed, markedsføring og den finansielle sektor. 9

Definitioner Persondatalovens 3, nr. 1. Personoplysninger 2. Behandling 3. Register med personoplysninger (register) 4. Den dataansvarlige 5. Databehandleren 6. Tredjemand 7. Modtager 8. Den registreredes samtykke 9. Tredjeland 10

Personoplysninger ( 3, nr. 1) Enhver form for information om en identificeret eller identificerbar fysisk person. Det vil sige oplysninger, der kan henføres til en bestemt, fysisk person. F.eks. navn, e-mailadresse, ip-adresse cpr-nummer eller et eller flere elementer, der er særlige for en person, herunder billede, stemme, fingeraftryk m.v. Afdøde er som udgangspunkt omfattet af lovens anvendelsesområde. Enkeltmandsejede virksomheder er omfattet af lovens anvendelsesområde. Anonymiserede oplysninger er ikke omfattet af lovens anvendelsesområde. NB: Strenge krav til anonymisering: Det må ikke være muligt for nogen med rimelige midler at finde ud af, hvem oplysningerne vedrører, f.eks. ved at sammenholde oplysninger fra flere kilder. Det er heller ikke nok, at et navn erstattes med en kode eller lign., hvis nogen har adgang til koden. 11

Behandling ( 3, nr. 2) Enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for. Omfatter enhver måde at håndtere oplysninger om personer på! F.eks.: Indsamling Registrering Opbevaring Brug (f.eks. internt i en forvaltning) Ajourføring Ændring Søgning Sammenstilling eller samkøring Videregivelse Sletning 12

Register ( 3, nr. 3) Enhver struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på et funktionsbestemt eller geografisk grundlag. F.eks.: Kartotekskasser Journalbøger Fortegnelser Systematiske ringbind 13

Dataansvarlig ( 3, nr. 4) Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger. Begrebet dataansvarlig svarer stort set til begrebet "den registeransvarlige i registerlovene. NB! Det er myndigheden eller virksomheden og ikke den enkelte medarbejder som er dataansvarlig for behandlingen af personoplysninger. 14

Dataansvar konsekvenser Den dataansvarlige skal sikre, at persondataloven overholdes, herunder At oplysningerne behandles lovligt (hjemmel) At de grundlæggende principper efterleves At datasikkerheden er tilstrækkelig At de registreredes rettigheder iagttages At anmeldelses- og tilladelseskrav iagttages NB Også ansvarlig for behandling ved databehandler Kan blive mødt med Kritik fra Datatilsynet (og anbefalinger og henstillinger) Eventuelle erstatningskrav (skal indbringes for domstolene) Private dataansvarlige kan modtage påbud og straffes for overtrædelse af persondataloven 15

Databehandler ( 3, nr. 5) Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne. F.eks. analysebureau, konsulent, revisor, (anden) myndighed, webhotel (e-mail). Dækker både atabehandlere og underdatabehandlere : Dataansvarlig Databehandler Under - databehandler Under - databehandler 16

Samtykke ( 3, nr. 8) Enhver frivillig, specifik og informeret viljestilkendegivelse, hvorved den registrerede indvilger i, at oplysninger, der vedrører den pågældende selv, gøres til genstand for behandling. Frivillig: Ingen tvang Specifik: Hvem der må behandle oplysningerne, hvilke oplysninger der må behandles og til hvilke formål Informeret: Hvad vil oplysningerne blive brugt til? Ingen krav om skriftlighed, men den dataansvarlige bærer bevisbyrden Skal være udtrykkeligt = ikke stiltiende Ingen lovbestemt tidsbegrænsning Kan tilbagekaldes, jf. 38 17

Betingelser for behandling af personoplysninger - Hjemmelskrav - Grundprincipper Persondatalovens kapitel 4: 5 om grundprincipper 6 om almindelige ikke-følsomme personoplysninger 7 om følsomme personoplysninger 8 om følsomme personoplysninger 9 om retsinformationssystemer 10 om forskning 11 om personnummer 12 om markedsføringsfortegnelser og kuverteringsbureauer 13 om forbud mod automatisk registrering af udgående telefonnumre 14 om overførsel til arkiv 18

Grundprincipper ( 5) 1. God databehandlingsskik: Databehandlingen skal være rimelig og lovlig 2. Formålsbestemthed: Indsamling skal ske til udtrykkeligt angivne og saglige formål. Senere behandling må ikke være uforenelig 3. Proportionalitet: Relevante og tilstrækkelige oplysninger. Ikke mere end nødvendigt 4. Datakvalitet: Ajourføring og kontrol. Sletning eller berigtigelse af oplysninger, der viser sig urigtige eller vildledende 5. Sletning: Må ikke opbevares længere end nødvendigt 19

Typer af personoplysninger Racemæssig eller etnisk baggrund. Politisk, religiøs eller filosofisk overbevisning. Helbredsmæssige og seksuelle forhold. 7 følsomme oplysninger Kriminalretlige forhold, væsentlige sociale problemer og andre rent private forhold. F.eks.: selvmordsforsøg, seksuelt misbrug, førtidspensionist, bortvisning, personlighedstest. 8 fortrolige, men ikke følsomme oplysninger Almindelige ikkefølsomme oplysninger 6 Personnummer (CPR) Resten: Alle personoplysninger, som ikke er følsomme eller personnumre. F.eks.: Økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold, bolig, bil, eksamen, ansøgning, CV, ansættelsesdato, stilling, arbejdsområde samt stamoplysninger som navn, adresse, fødselsdato, telefonnummer etc. 11 6 20

Almindelige ikke-følsomme personoplysninger ( 6) Behandling af oplysninger må finde sted, hvis der er indhentet samtykke (som er i overensstemmelse med 3, nr. 8), det er nødvendig for en aftale, f.eks. ansættelse, der er en retlig forpligtelse, som skal overholdes f.eks. en anden lov, det er nødvendigt for den registreredes vitale interesser, det er en opgave i samfundets interesse f.eks. forskning, det er offentlig myndighedsudøvelse eller den dataansvarlige har en berettiget interesse, der overstiger den registreredes (interesseafvejningsreglen). 21

Fortrolige 6-oplysninger Bemærk, at visse ikke-følsomme personoplysninger omfattet af 6 er fortrolige dette har bl.a. betydning ved anmeldelse. Eksempler: Sygefravær, kildeskat, pensionsforhold, lønindeholdelse. NB: Personoplysninger, som ikke kan nægtes udleveret efter reglerne i offentlighedsloven, vil ikke være af fortrolig karakter. 22

Følsomme personoplysninger ( 7) Hovedregel: Forbud mod behandling af oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold ( 7, stk. 1). Undtagelser( 7, stk. 2-7), f.eks. hvis der er indhentet udtrykkeligt samtykke, det er nødvendigt for vitale interesser, oplysningerne er offentliggjort af den registrerede selv, eller behandling nødvendig for at retskrav kan fastlægges, gøres gældende eller forsvares (bl.a. myndighedsudøvelse) patientbehandling mv. Vigtigt: For den offentlige forvaltning må der ikke føres edb-registre med oplysninger om politiske forhold, som ikke er offentligt tilgængelige ( 7, stk. 8). Det vil sige, at oplysninger om politiske tilhørsforhold normalt slet ikke må behandles i myndigheders ESDH-systemer. 23

Andre følsomme personoplysninger ( 8) Kriminalretlige forhold, væsentlige sociale problemer og andre rent private forhold end de i 7, stk. 1, nævnte. Disse oplysninger må kun behandles, hvis en af betingelserne i lovens 7 eller 8 er opfyldt. 8 indeholder en interesseafvejningsregel dog strengere end efter 6. Bemærk: Forskellige betingelser i 8 for offentlige og private dataansvarlige og særlige betingelser for videregivelse. 24

Specielle behandlingsregler 9 Retsinformationssystemer (f.eks. samling af afgørelser på hjemmeside) 10 Forskning og statistik 11 Personnumre 12 Adresserings- og kuverteringsbureauer 13 Registrering af telefonnumre 14 Arkiv 25

Persondatalovens 10 Behandling af 7- og 8-oplysninger til statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning Ej krav om samtykke gode muligheder for forskning VIGTIGT: Oplysningerne må kun anvendes til forskning/statistik bordet fanger (stk. 1 og 2) Videregivelse fra forskning kræver tilladelse fra Datatilsynet (stk. 3) Anonymisering/pseudonymisering 26

Overførsel af oplysninger til tredjelande ( 27) Tredjeland ( 3, nr. 9): En stat, som ikke indgår i Det Europæiske Fællesskab, og som ikke har gennemført aftaler, der er indgået med Det Europæiske Fællesskab, og som indeholder regler svarende til databeskyttelsesdirektivet. - EU + Norge og Island ej tredjelande. Det er vigtigt at være opmærksom på, at der gælder særlige betingelser ved overførsel af personoplysninger til tredjelande (også sikre tredjelande). Find nærmere vejledning på Datatilsynets hjemmeside. 27

Den registreredes rettigheder persondatalovens afsnit III Pligt for den dataansvarlige til at give oplysninger om behandlingen (grundlaget for de øvrige rettigheder) Ret til indsigt i oplysninger om en selv (f.eks. i elektronisk personalesag) Ret til at gøre indsigelse mod behandlingen den dataansvarlige skal tage stilling og svare Ret til at kræve urigtige oplysninger rettet, slettet eller blokeret Ret til at tilbagekalde et samtykke Ret til at modsætte sig automatiske afgørelser Ret til at klage til Datatilsynet 28

Oplysningspligt ( 28 og 29) Den dataansvarlige skal på eget initiativ oplyse om Den dataansvarliges identitet Formålene med behandlingen Eventuelle yderligere oplysninger Hvornår henholdsvis 28 og 29? Når man får oplysninger af den registrerede selv 28 Når man får oplysninger om den registrerede fra andre 29 Hvordan skal oplysningerne gives? Ingen formkrav, ej heller skriftlighed Oplysningspligten opfyldes af egen drift Kun pligt til underretning én gang ved løbende indsamling 29

Undtagelse fra oplysningspligten i 28-tilfælde Den registrerede er allerede bekendt med de oplysninger, der skal gives Eksempel: Den registrerede retter uopfordret henvendelse og kender den dataansvarliges identitet og formålet 30

Undtagelse fra oplysningspligten i 29-tilfælde Den registrerede er allerede bekendt med de oplysninger, der skal gives Registrering eller videregivelse er udtrykkeligt fastsat ved lov Underretning er umulig eller uforholdsmæssig vanskelig registreredes interesse i at modtage underretning har behandlingen konsekvenser? oplysningernes alder og karakter antallet af registrerede den dataansvarliges arbejdsindsats 31

Undtagelse efter 30 OBS: Der skal meget til, før undtagelserne efter 30 kan bruges. Hvis den registreredes interesse i at få kendskab til oplysningerne burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv Hvis den registreredes interesse i at få kendskab til oplysningerne burde vige for afgørende hensyn til offentlige interesser, herunder navnlig til: statens sikkerhed forsvaret den offentlige sikkerhed forebyggelse, efterforskning, afsløring og retsforfølgning i kriminalsager mv. væsentlige økonomiske eller finansielle interesser hos Grønland eller en medlemsstat mv. kontrol-, tilsyns- eller reguleringsopgaver mv. som led i offentlig myndighedsudøvelse. 32

Den registreredes indsigtsret ( 31) Den registrerede har på begæring krav på oplysning om: 1) Hvilke oplysninger (om den registrerede selv) der behandles egen access 2) Behandlingens formål 3) Kategorierne af modtagere af oplysningerne 4) Tilgængelig information om, hvorfra oplysningerne stammer Kendes også fra offentlighedsloven og sagsbehandlingsloven. 33

Indsigtsbegæringer ( 31) Ingen formkrav til begæringen. Begæringen skal imødekommes snarest (uden større ventetid) og den registrerede skal underrettes, hvis der ikke kan svares inden 4 uger. Skriftligt svar, hvis der anmodes om det let forståeligt. Chikanebestemmelsen i 33 = 6 måneder mellem anmodninger, hvis ingen nye registreringer. 34

Begrænsninger i indsigtsretten ( 32) 30 (undtagelser til underretning efter 28 og 29) Undtagelse fra indsigtsret som efter offentlighedslovene bl.a. kriminalretlige sager, visse interne dokumenter mv. (stk. 2) Hvis udelukkende forskning eller statistik (stk. 3) 35

Generel indsigelsesret ( 35) Den registrerede kan til enhver tid gøre indsigelse mod behandling af oplysninger om vedkommende selv. Indsigelsen anses som berettiget og skal imødekommes, hvis der er tale om ulovlige behandlinger der anføres tungtvejende grunde mod behandlingen, der vedrører den registreredes individuelle situation f.eks. medarbejderoversigter på hjemmeside ved chikane. Undtagelser Behandling foreskrevet i lovgivningen Behandling i statistisk eller videnskabeligt øjemed 36

Urigtige eller vildledende oplysninger ( 37) Den registrerede kan kræve, at urigtige eller vildledende oplysninger om vedkommende selv berigtiges, slettes eller blokeres (stk. 1). Ingen formkrav Den dataansvarlige skal snarest tage stilling til en anmodning Det beror på en konkret vurdering, om urigtige eller vildledende oplysninger skal berigtiges, slettes eller blokeres Hvis oplysningerne ikke skal slettes, berigtiges eller blokeres, skal den dataansvarlige alligevel sørge for, at det i tilknytning til oplysninger fremgår, hvis den pågældende er uenig i en given faglig vurdering eller i indholdet af et referat m.v., jf. persondatalovens 5, stk. 1 og 4. Underretning til tredjemand om berigtigelse m.v., hvis den registrerede beder om det (stk. 2). 37

Anmeldelse til Datatilsynet offentlige myndigheder (lovens kapitel 12) Udgangspunkt: Alle behandlinger af følsomme og fortrolige oplysninger Undtagelser: o Personnumre o Undtagelsesbekendtgørelsen for den offentlige forvaltning Brug blanketter på Datatilsynets hjemmeside Ændringer skal også anmeldes Ikke krav om tilladelse, men hvis følsomme oplysninger, skal Datatilsynets udtalelse indhentes, før behandlingen iværksættes 38

Anmeldelse til Datatilsynet private dataansvarlige (lovens kapitel 13) Udgangspunkt: Alle behandlinger af følsomme oplysninger Undtagelser: o Lovens 49, f.eks. advokater og revisorer + personer med autorisation inden for sundhedsvæsenet (sygeplejersker mv.) o Undtagelsesbekendtgørelsen for private Brug blanketter på Datatilsynets hjemmeside Ændringer skal også anmeldes Krav om forudgående tilladelse. 39

Anmeldelse til Datatilsynet overgangsordning ( 71) For behandlinger af personoplysninger, som er iværksat før anordningens ikrafttræden (1. december 2016), skal reglerne i kapitel 12 og 13 være opfyldt senest den 1. december 2019. Behandlinger, der iværksættes efter anordningens ikrafttræden, skal derimod som udgangspunkt anmeldes forud for iværksættelsen. Hvis tvivl, så anmeld snarest også god lejlighed til at få overblik. 40

Behandlingssikkerhed ( 41, stk. 3) Den dataansvarlige skal træffe de tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes kommer til uvedkommendes kendskab misbruges eller behandles i strid med loven. Tilsvarende gælder for databehandlere. Offentlige myndigheder skal også overholde reglerne i sikkerhedsbekendtgørelsen. Se også vejledning til sikkerhedsbekendtgørelsen (vejl. nr. 37 af 2. april 2001). 41

Brug af databehandler ( 41 og 42) Den dataansvarlige skal ved overladelse af oplysninger til en databehandler påse, at sikkerheden er i orden. Hvis der benyttes en databehandler, skal der indgås en databehandleraftale, som skal være skriftlig, det skal bl.a. fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i bl.a. 41, stk. 3, også gælder for behandlingen ved databehandleren. Dataansvarlig Databehandleraftale Databehandleraftale Databehandler Under - databehandler 42

Behandlingssikkerhed sikkerhedsbekendtgørelsen 5 Interne uddybende sikkerhedsregler og myndighedens eget tilsyn 6 Instruktion af medarbejdere 7 Databehandleraftale og hjemmearbejdsplads 11-12 Autorisation og adgangskontrol 14 Eksterne kommunikationsforbindelser (forsendelse over internettet/e-mail) krav om kryptering Særlige bestemmelser om anmeldelsespligtige behandlinger (det vil som udgangspunkt sige følsomme og andre fortrolige oplysninger) 16-17 Autorisation og adgangskontrol 18 Kontrol med afviste adgangsforsøg 19 Logning og 30-dages-reglen 43

Behandlingssikkerhed hvad går typisk galt Organisatoriske forhold (hvem gør hvad hvornår) Menneskelige fejl Utilstrækkelige eller fejlbehæftede it-løsninger 44

Mere information På Datatilsynets hjemmeside kan du finde yderligere vejledning, anmeldelsesblanketter mv. Du kan også ringe til Datatilsynet og få hjælp. 45

www.datatilsynet.dk 46

Publikationer 47

Spørgsmål 48

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback