Persondatareguleringen Data og persondata Hvorfor hvornr og lidt

Persondatareguleringen Data og persondata: Hvorfor, hvornår og lidt om hvad…

Hvorfor … har vi EU-regler for personoplysninger?

Det digitale indre marked

Men EU-borgerne har traumer…

Drøft med sidemanden: • Hvad er det bagvedliggende og grundlæggende formål med den regulering, som vi taler om her? – Overvej hvorfor vi ofte bruger følgende vendinger: • Den samlede sum af alle EU-borgers holdning til indsamling og brug af persondata, især massebehandling • Balancepunkt

Hvornår … gælder de her EU-regler så?

Behandling af personoplysninger Artikel 2, stk. 1: Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register

Definitionen af personoplysninger Artikel 4, nr. 1: » personoplysninger «: enhver form for information om en identificeret eller identificerbar fysisk person (» den registrerede «); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f. eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kultureller sociale identitet

Anonymisering og Psedonymisering • Er IKKE det samme – Anonymiserede personoplysninger IKKE reguleret i forordningen – Psedonymiserede personoplysninger ER reguleret Artikel 4, nr. 5: » pseudonymisering «: behandling af personoplysninger på en sådan måde, at personoplysningerne ikke længere kan henføres til en bestemt registreret uden brug af supplerende oplysninger, forudsat at sådanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger for at sikre, at personoplysningerne ikke henføres til en identificeret eller identificerbar fysisk person

Men juristerne køber ikke den her… Databehandler

Persondatarettens anvendelsesområde • Konklusion: – Alle data, der kan føres tilbage til jeres borgere af organisationen som en helhedsforvaltning eller af jeres leverandør, er personoplysninger. – Persondataloven og fra maj 2018 databeskyttelsesforordningens regler gælder for alt, hvad I foretager jer med disse data – hele vejen igennem

Hvad … er det så, der står i de der regler?

Husk der er TO formål… • Reglerne siger IKKE, at I ikke må bruge personoplysninger: – Man må gerne bruge data nyttigt og legitimt – Man skal ikke altid have samtykke • Reglerne KRÆVER derimod, at bruger personoplysninger på en civiliseret måde: – Man skal have en god grund • Et legitimt formål – Man må hverken ”luske” eller ”rode” • Man skal være åben om, hvad man gør med folks oplysninger og man skal være klar over, hvad man har liggende (gennemsigtighed) – Man skal opføre sig ansvarligt og troværdigt • Skabe den tillid, der er nødvendig for at skabe det digitale indre marked! • Sikkerhed og awareness !

Drøft med sidemanden …. • Hvilke persondata bruger I hver især? • Hvor kommer de persondata fra? • Hvad var formålet med oprindeligt at samle personoplysningerne? • Hvad er jeres formål med at bruge de personoplysninger? • Har I som en organisation et overblik over, hvilke oplysninger I har, hvad de bruges til og hvad formålene er? – Hvis JA: Er der noget galt i at offentliggøre den viden, så borgerne kan se det og opleve, at I er åbne om, hvad I gør med deres data? – Hvis NEJ: Sæt jer i borgernes sted og overvej om det er tillidsvækkende og troværdigt, at en myndighed og myndighedens leverandører ikke har et sådan overblik?

Mere konkret? • 173 betragtninger og 99 artikler…. . • Vi kommer til at nøjes med en oversigt

Reguleringens grundlæggende systematik • Principper – – – – – • Retligt grundlag (behandlingsbetingelse: Oftest forpligtelse eller samtykke) Fairness (god databehandlingsskik) Formålsbestemthed Proportionalitet (incl. dataminiering) Datakvalitet Tidsbegrænsning Sikkerhed, herunder adgangsbegrænsninger og databehandleraftaler og instrukser Data Protection By Design (By Default samt Impact Assesment) Særlige regler for børn Administrative bestemmelser – Anmeldelse, tilladelse og høring af Datatilsynet – afløses formentlig af fortegnelse over egne behandlinger, dokumentation og indberetning af sikkerhedsbrist. • Rettigheder – Information, indsigt, indsigelse, korrektion mv. • (Sanktioner og tilsyn)

Forholdet til andre regler: • Generelt: – Bestemmes det i national ret, at en oplysning skal behandles, så er det retlige grundlag til stede • Men: – Medmindre det fremgår af den danske lov, er forordningens (øvrige)regler ikke fraveget! – Er andre dele af forordningen faktisk fraveget, skal der opstilles garantier for databeskyttelsen på anden måde! Lad os tage et eksempel:

Artikel 9, stk. 2, litra h: • Behandling er nødvendig med henblik på (…) ydelse af social- og sundhedsomsorg eller behandling eller forvaltning af social-og sundhedsomsorg og -tjenester på grundlag af EU-retten eller medlemsstaternes nationale ret (…) og underlagt de betingelser og garantier, der er omhandlet i stk. 3 – (Stk. 3: Behandles af person med tavshedspligt eller på vegne af en person med tavshedspligt)

Drøft med sidemanden: • Lovbestemt at kommunerne skal ”opspore” ”sårbare” borgere i gruppen på 65 -79 år – Sagsbehandlerne gerne have en mulighed for at finde disse borgere på et fælles kort. • Parametrene er: Køn, enlig, anden etnisk baggrund, barnløs (derudfra en liste med disse borgere og deres cpr-nummer) Er det retlige grundlag (hjemmel) til stede? Hvilke elementer skal projektet (så) være opmærksom på?

I er velkommen til: …. . at melde jer ind i Persondataretligt Netværk Syddanmark og få indflydelse på, hvad der skal tages op på seminarerne på SDU. • Er en del af SDUs Legal Informatic Project og og tilmeldning administreres foreløbig af Fokus Advokater; jln@focus-advokater. dk