JURIDISK INSTITUT Intro til den nye persondataret Oplg

JURIDISK INSTITUT Intro til den nye persondataret Oplæg hos Retshjælpen i Vollsmose om databeskyttelsesforordningen, der gælder fra 25. maj 2018 Lisa Christensen 4. maj 2017 1

Plan for eftermiddagen Ø Baggrund for persondataretten Ø Reglerne Ø Hvem er forpligtet? Ø Grundlæggende principper Ø De registreredes rettigheder Ø Når det går galt Ø Afrunding og spørgsmål 2 JURIDISK INSTITUT 19. april 2017 JURIDISK INSTITUT

Hvorfor vigtigt at beskæftige sig med persondataret lige nu? Ny forordning gælder fra maj næste år. Artikel 83: Hver tilsynsmyndighed sikrer, at pålæggelse af administrative bøder […] i hver enkelt sag er effektiv, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning. Bødeniveau: Op til 20 000 EUR, eller hvis det drejer sig om en virksomhed, med op til 4 % af dens samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere 3 19. april 2017 JURIDISK INSTITUT

Hvorfor er der så stort fokus på regulering af brug af persondata? Baggrunden 4

Hvorfor interesserer EU sig for persondataret? EU: Internettet og de digitale teknologier er ved at transformere vores verden – uanset hvor vi arbejder, eller hvad vi beskæftiger os med. Ø 81 % af europæerne føler, at de ikke har fuld kontrol over deres personoplysninger online (Eurobarometer, 2015) Ø Et stort flertal af europæere (69 %) vil gerne have mulighed for at afgive deres udtrykkelige bekræftelse forud for, at deres personoplysninger indsamles og behandles (Eurobarometer, 2015. ) Ø Kun 24 % af europæerne har tillid til internetvirksomheder som søgemaskiner, sociale netværkssider og e-mailtjenester. 5 19. april 2017 JURIDISK INSTITUT Kilde: EU factsheet : The EU Data Protection Reform and Big Data, 17. januar 2017

Historisk baggrund 6 19. april 2017 JURIDISK INSTITUT

Hvilke regler gælder så? Reglerne 7

Fortiden: Det historiske tilbageblik Registerlovene (1978 -2000) Persondatadirektivet – Direktiv 95/46 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger Persondataloven – trådte i kraft 1. juli 2000 • Derudover sektorspecifik lovgivning Databeskyttelsesforordningen (GDPR) – Forordning 2016/679 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger Vedtaget 16. april 2016 • Umiddelbar anvendelse i medlemsstaterne fra 25. maj 2018 sammen med øvrig/følgelovgivning • 173 betragtninger og 99 artikler • Dansk betænkning med lovforslag kommer i maj/juni 2017 8 19. april 2017 JURIDISK INSTITUT

Fremtiden: Digital single market 9 19. april 2017 JURIDISK INSTITUT

OPGAVE Drøft med sidemanden Hvad tror du, er det bagvedliggende og grundlæggende formål med reguleringen af persondata? Overvej i den forbindelse hvorfor vi ofte bruger følgende vendinger: • Den samlede sum af alle EU-borgeres holdning til indsamling og brug af persondata, især massebehandling • Balancepunkt 10 JURIDISK INSTITUT

Formålet med reguleringen Reglerne siger IKKE, at I ikke må bruge personoplysninger: • • Man må gerne bruge data nyttigt og legitimt Man skal ikke altid have samtykke Reglerne KRÆVER derimod, at personoplysninger bruges på en civiliseret måde: • Man skal have en god grund • • Man må hverken ”luske” eller ”rode” • • Man skal være åben om, hvad man gør med folks oplysninger og man skal være klar over, hvad man har liggende (gennemsigtighed) Man skal opføre sig ansvarligt og troværdigt • • 11 Et legitimt formål og konkret hjemmel til at gøre det Skabe den tillid, der er nødvendig for at skabe det digitale indre marked! Sikkerhed og awareness ! JURIDISK INSTITUT

Grundlæggende principper

Oversigt 1. 2. 3. 4. 5. 13 19. april 2017 Hvornår gælder forordningen (anvendelsesområdet)? Hvad er ”personoplysninger”? Hvad er ”behandling” af oplysninger? Hvornår og hvordan må man behandle personoplysninger? Dataansvarlige og databehanderen JURIDISK INSTITUT

1. Hvornår gælder forordningen? Reguleringens anvendelsesområde: Behandling af personoplysninger Artikel 2, stk. 1: Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register. 14 JURIDISK INSTITUT

2. Hvad er personoplysninger? Persondatalovens definition, § 3, nr. 1: Databeskyttelsesforordningens definition, art. 4, nr. 1: » personoplysninger «: enhver form for information om en Enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede). identificeret eller identificerbar fysisk person (» den registrerede «); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f. eks. et navn, et identifikationsnummer, Enhver form for information: Oplysninger, billeder, video, stemmeoptagelser, fingeraftryk lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kultureller sociale identitet” 15 JURIDISK INSTITUT

Personoplysninger – og kategorierne Som vi så lige før: Personoplysninger er bredt defineret i forordningen! - mange typer af data og data som kan gøres identificerbare i kraft af Big Data og mulighed for at sammenholde med andre data! Alt der kan føres direkte tilbage eller henføres til personen er personoplysninger! Person oplysningerne kategoriseres, og knyttes an til den måde de legitimt kan behandles på. Ø Almindelige oplysninger Ø Andre følsomme oplysninger/ semi-følsomme oplysninger Ø Følsomme oplysninger 16 JURIDISK INSTITUT

Anonymisering og Pseudonymisering Er IKKE det samme • Anonymiserede personoplysninger IKKE reguleret i forordningen (de er helt udenfor) • Pseudonymiserede personoplysninger ER reguleret Betragtning 26: . . Personoplysninger, der har været genstand for pseudonymisering, og som kan henføres til en fysisk person ved brug af supplerende oplysninger, bør anses for at være oplysninger om en identificerbar fysisk person. Artikel 4, nr. 5: » pseudonymisering «: behandling af personoplysninger på en sådan måde, at personoplysningerne ikke længere kan henføres til en bestemt registreret uden brug af supplerende oplysninger, forudsat at sådanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger for at sikre, at personoplysningerne ikke henføres til en identificeret eller identificerbar fysisk person. JURIDISK INSTITUT

Opgave Diskutér med sidemanden, hvilke personoplysninger retshjælpen behandler? Overvej også, hvad man kan udlede af de personoplysninger, retshjælpen behandler. Er der tale om følsomme oplysninger? 18 19. april 2017 JURIDISK INSTITUT

3. Hvad er ”behandling” af oplysninger? • • • 19 Indsamling / hjemtagning Søgninger Systematisering Organisering Brug Ændringer Registrering Videregivelse Sletning Blokering Sammenkøringer /sammenstillinger Opbevaring Stort set alt, man foretager sig med data, er behandling af data! JURIDISK INSTITUT

4. Hvornår må man behandle oplysninger? For at behandling kan betragtes som lovlig, bør personoplysninger behandles på grundlag af den registreredes samtykke eller et andet legitimt grundlag, der er fastlagt ved lov (EU eller national ret), herunder når det er nødvendigt for overholdelse af de retlige forpligtelser, som påhviler den dataansvarlige, eller behovet for opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til foranstaltninger, der træffes på dennes anmodning forud for indgåelse af en sådan kontrakt. (betragtning 40) => Samtykke eller hjemmel i lovgivning Databehandleren skal oplyse den registrerede om sin legitime interesse i behandlingen (gælder dog ikke offentlige myndigheder) 20 JURIDISK INSTITUT

Betragtninger fra forordningen om behandling (4) …. Retten til beskyttelse af personoplysninger er ikke en absolut ret; den skal ses i sammenhæng med sin funktion i samfundet og afvejes i forhold til andre grundlæggende rettigheder i overensstemmelse med proportionalitetsprincippet. Denne forordning overholder alle de grundlæggende rettigheder og følger de frihedsrettigheder og principper, der anerkendes i chartret som forankret i traktaterne, navnlig respekten for privatliv og familieliv, hjem og kommunikation, beskyttelsen af personoplysninger, retten til at tænke frit, til samvittigheds- og religionsfrihed, ytrings- og informationsfrihed, frihed til at oprette og drive egen virksomhed, adgang til effektive retsmidler og til en retfærdig rettergang og kulturel, religiøs og sproglig mangfoldighed. … (7) …. . Udviklingen kræver en stærk og mere sammenhængende databeskyttelsesramme i Unionen, som understøttes af effektiv håndhævelse, fordi det er vigtigt at skabe den tillid, der gør det muligt, at den digitale økonomi kan udvikle sig på det indre marked. Fysiske personer bør have kontrol over deres personoplysninger. Sikkerheden både retligt og praktisk bør styrkes for fysiske personer, erhvervsdrivende og offentlige myndigheder. . 21 Oplysningernes karakter (almindelige eller følsomme) er afgørende for, hvilken bestemmelse der finder anvendelse JURIDISK INSTITUT

Retligt grundlag for lovlig behandling af almindelige oplysninger, art. 6, stk. 1 Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende: a) Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål. … c) Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige. …. e) Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. . 22 JURIDISK INSTITUT

Behandling til andet formål end indsamlingsformålet Art. 6, stk. 4. Når behandling til et andet formål end det, som personoplysningerne er indsamlet til…[skal] den dataansvarlige, for at afgøre, om behandling til et andet formål er forenelig med det formål, som personoplysningerne oprindelig blev indsamlet til, bl. a. tage hensyn til følgende: a) enhver forbindelse mellem det formål, som personoplysningerne er indsamlet til, og formålet med den påtænkte viderebehandling b) den sammenhæng, hvori personoplysningerne er blevet indsamlet, navnlig med hensyn til forholdet mellem den registrerede og den dataansvarlige c) personoplysningernes art, navnlig om særlige kategorier af personoplysninger behandles, jf. artikel 9, eller om personoplysninger vedrørende straffedomme og lovovertrædelser behandles, jf. artikel 10 d) den påtænkte viderebehandlings mulige konsekvenser for de registrerede e) tilstedeværelse af fornødne garantier, som kan omfatte kryptering eller pseudonymisering. 23 JURIDISK INSTITUT

Lovlig behandling af Følsomme personoplysninger: Artikel 9 HR: Behandling af særlige kategorier (følsomme personoplysninger) …. . er forbudt. Med mindre: A) Registrerede har givet udtrykkeligt samtykke B) Behandling er nødvendig for at overholde den dataansvarliges eller den registreredes arbejds-, sundheds- og socialretlige forpligtelser og specifikke rettigheder, for så vidt den har hjemmel i EU-retten eller medlemsstaternes nationale ret eller en kollektiv overenskomst i medfør af medlemsstaternes nationale ret, som giver fornødne garantier for den registreredes grundlæggende rettigheder og interesser. … F) Behandling er nødvendig, for at retskrav kan fastlægges, gøres gældende eller forsvares, eller når domstole handler i deres egenskab af domstol. G) Behandling er nødvendig af hensyn til væsentlige samfundsinteresser på grundlag af EU-retten eller medlemsstaternes nationale ret og står i rimeligt forhold til det mål, der forfølges, respekterer det væsentligste indhold af retten til databeskyttelse og sikrer passende og specifikke foranstaltninger til beskyttelse af den registreredes grundlæggende rettigheder og interesser. …. 24 19. april 2017 JURIDISK INSTITUT

Grundprincipper for behandling (artikel 5) • Retligt grundlag (behandlingsbetingelse: Oftest forpligtelse eller samtykke) • Oplysningspligt! Kommunikation til registrerede SKAL være kortfattet, gennemsgitig, letforståelig, lettilgængelig for, i klart og enkelt sprog. • Fairness (god databehandlingsskik) • Formålsbestemthed - formålsbegrænsning • Proportionalitet (inkl. dataminiering) • Datakvalitet • Tidsbegrænsning • Sikkerhed, herunder adgangsbegrænsninger og databehandleraftaler og instrukser • Data Protection By Design (By Default samt Impact Assessment) – artikel 25 25 19. april 2017 JURIDISK INSTITUT

Opsummering om lovlig behandling Generelt: • Bestemmes det i national ret, at en oplysning skal behandles, så er det retlige grundlag til stede (behandlingsbetingelse opfyldt) Men: • Medmindre det fremgår af den danske lov, er forordningens (øvrige)regler ikke fraveget! • Stadig principper (f. eks. sikkerhed, dataminimering, herunder pseudonymisering osv), stadig dokumentation, stadig registreredes rettigheder mv. 26 19. april 2017 JURIDISK INSTITUT

5. Hvem er ansvarlig? Databehandler og dataansvarlig Databehandler JURIDISK INSTITUT

Dataansvarliges ansvar: Skal have styr på behandlingen af personoplysningerne Påvisningskrav: Skal kunne påvise at ens behandling er i overensstemmelse med forordningen, f. eks. ved: • At efterleve fortegnelseskravet i artikel 30 (NYT), heriblandt: • • • Hvem behandler data? Hvilke kategorier af oplysninger bliver behandlet? Hvilke kategorier af modtagere bliver oplysninger videregivet til? Er der overførsel til tredjeland? Hvornår forventes oplysningerne slettet? Generel beskrivelse af sikkerhedsforanstaltninger Datamapping • Tilslutning til adfærdskodeks/certificeringsordninger • Interne politikker/procedurer 28 19. april 2017 JURIDISK INSTITUT

Databehandlers nye ansvar: • Fortegnelser over behandlingsaktiviteter • Dog visse undtagelser ved beskæftigelse under 250 personer • Underretning ved sikkerhedsbrister • Evt. DPO • Flere og mere detaljerede krav til databehandleraftaler • Eksplicitte betingelser for hvornår en databehandler må benytte sig af underdatabehandlere • Kan blive erstatningspligtige over for de registrerede personer 29 19. april 2017 JURIDISK INSTITUT

Inden vi fortsætter: Husk det bagvedliggende formål! Ø Borgerne skal have fuld tillid til at data behandles ordentligt, så de ikke tøver med at give lov til at data må behandles! Ø Skal sikre frit dataflow (det digitale indre marked) 30 19. april 2017 JURIDISK INSTITUT

De registreredes rettigheder 31

Alle personer, hvis data er registreret, har ret til… Ø Ø Ø Ø 32 19. april 2017 Oplysning om at persondata behandles Indsigt Berigtigelse Sletning (”retten til at blive glemt”) Begrænsning af behandling Dataportabilitet Indsigelse Ø Herunder ret til ikke at blive profileret JURIDISK INSTITUT

Når det går galt? 19. 33 april 2017

Når det går galt? Brud på datasikkerhed skal anmeldes uden unødig forsinkelse tilsynsmyndigheden inden 72 timer. Husk sanktionerne – de markant forhøjede i dansk perspektiv… 34 19. april 2017 JURIDISK INSTITUT

Afrunding 35

Det handler ofte ikke om, hvad man må og ikke må…. … men i højere grad inden for hvilke rammer man gerne må. 36 19. april 2017 JURIDISK INSTITUT

Opsummering Konklusion: • Alle data, der kan føres tilbage til brugere er personoplysninger. Persondataloven og fra maj 2018 databeskyttelsesforordningens regler gælder for alt, hvad I foretager jer med disse data – hele vejen igennem! Bagvedliggende og grundlæggende formål: - Nyttiggørelse af data - Gøre borgerne trygge ved brug af data - Give mulighed for (under faste rammer) at bruge data 37 19. april 2017 JURIDISK INSTITUT

Tak for opmærksomheden 38 19. april 2017 JURIDISK INSTITUT