1 / 71

Persondataloven

Persondataloven. Ved Martin Ib Bruun Kontakt: mbru @nanoq.gl. Rammerne for mødet v. r etschef Andreas Salmony. Ikraftsættelsen af persondataloven har været i støbeskeen i lang tid Under et forretnings- naalakkersuisut kan høringsprocessen ikke sættes i gang

shelley
Download Presentation

Persondataloven

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Persondataloven Ved Martin Ib Bruun Kontakt: mbru@nanoq.gl

  2. Rammerne for mødet v. retschef Andreas Salmony • Ikraftsættelsen af persondataloven har været i støbeskeen i lang tid • Under et forretnings-naalakkersuisut kan høringsprocessen ikke sættes i gang • Vi vil gerne bruge tiden til at præsentere den danske lov som foreslås ikraftsat

  3. Enterprise Ressource Planning Delprojekter: • Forudsætninger og rammer • Økonomistyring • Ledelsesinformation

  4. Persondataloven • Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger [senest ændret ved lov nr. 1245 af 18. december 2012] • Justitsministeriet foreslår, at loven sættes i kraft i Grønland den 1. januar 2014. Persondataretten er ikke ensbetydende med IT-ret!

  5. Persondatalovens baggrund og formål EU-direktiv fra 1995 [Direktiv 95/46 EF] Formålsbetragtninger (3) det indre markeds oprettelse og funktion, som i henhold til traktatens artikel 7 A indebærer fri bevægelighed for varer, personer, tjenesteydelser, og kapital, forudsætter ikke blot, at personoplysninger kan cirkulere frit fra én medlemsstat til en anden, men også, at det enkelte menneskes grundlæggende rettigheder beskyttes [egen fed]

  6. Menneskerettighedskonventionen Den Europæiske Menneskerettighedskonvention (1950) Artikel 8 Stk. 1. Enhver har ret til respekt for sit privatliv og familieliv, sit hjem og sin korrespondance. 

  7. Grundlæggende rettigheder DEN EUROPÆISKE UNIONS CHARTEROM GRUNDLÆGGENDE RETTIGHEDER Artikel 8 1. Enhver har ret til beskyttelse af personoplysninger, der vedrører ham/hende.

  8. Persondataloven, offentlighedsloven og sagsbehandlingsloven Sagsbehandlingsloven Formål: Lovlige afgørelser • Vejledningspligt • Videregivelse • Partshøring • Begrundelse • Klagevejledning • Partsrepræsentation • Partsaktindsigt • Inhabilitet • Tavshedspligt • Videregivelse af oplysninger Offentlighedsloven Formål: Gennemsigtighed • Notatpligt • Aktindsigt • Egenaccess Persondataloven Formål: Gennemsigtig og hensigtsmæssig behandling af personoplysninger i et teknologisk miljø. • Behandlingsprincipper • Behandlingsregler • Oplysningspligt • Sletning, blokering, rettelse, indsigelsesret og indsigtsret, • Anmeldelse, • Datasikkerhed

  9. Persondatalovens formål • atstyrke borgernes retssikkerhed og • atteknologiens muligheder for persondatabehandling udnyttes på en samfundsmæssig acceptabel måde

  10. Persondataretten og teknologien • Registerloven skulle fungere i forhold til teknologi, der ikke var kendt i 1978. • Persondataloven skulle fungere i forhold til teknologi, der ikke var kendt i 1995. • Persondataloven skal fungere i forhold til teknologier, som ikke er kendt i 2014, hvor loven foreslås at træde i kraft for Grønland.

  11. Den teknologiske udvikling *Cloudcomputing er et begreb, som omfatter levering af software, service og tjenesteydelser via internettet.

  12. Case: Datatilsynet om cloudcomputing Datatilsynet om cloudcomputing ”(..) I tråd med dette har Datatilsynet generelt en positiv indstilling over for brug af nye teknologier, herunder som udgangspunkt også cloudcomputing.” Behandling af følsomme personoplysninger i cloud-løsning, journalnummer: 2010-52-0138 Odense Kommune ønsker at anvende Google Apps online kontorpakke med kalender og dokumenthåndtering. Datatilsynet vurderede konkret, at anvendelsen af Google Apps ikke var lovlig.

  13. Opsummering • Opfattelsen af persondataretten er i bevægelse • Persondataloven er en generel lov. • Ny teknologi udfordrer persondataretten

  14. Gældende persondataret i Grønland Lov om offentlige myndigheders registre [lov nr. 294 af 8. juni 1978]

  15. Registerloven § 1, stk. 1 Loven gælder for registrering i edb-registre, der føres for den offentlige forvaltning, og som indeholder personoplysninger.

  16. Persondatalovens anvendelsesområde • Al elektronisk behandling af oplysninger om personer og ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register (jf. § 1, stk. 1.)

  17. Definition af centrale begreber • Personoplysninger, § 3, nr. 1 • Behandling, § 3, nr.2 • Dataansvarlig, § 3, nr. 4 • Databehandler, § 3, nr. 5

  18. Personoplysninger § 3, nr. 1 Enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede).

  19. Case: Personoplysning? Er overskriften i en akt sagsakt »klage over kommunen« en personoplysning?

  20. Behandling § 3, nr. 2 Enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for, dvs. enhver form for håndtering af oplysninger.

  21. Den dataansvarlige § 3, nr. 4 Den dataansvarlige er den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør til hvilket formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger. Den dataansvarlige har det umiddelbare ansvar for behandlingen.

  22. Databehandleren § 3, nr. 5 Databehandleren er den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne. Det er fortsat den dataansvarlige og ikke databehandleren, der er direkte ansvarlig over for den registrerede. Databehandleren kan ikke disponere over oplysningerne til egne formål.

  23. Case: Databehandler/dataansvarlig Anordning om ikrafttræden for Grønland af lov om Det Centrale Personregister § 2. Indenrigs- og Sundhedsministeriet administrerer CPR sammen med kommunalbestyrelserne i Grønland i overensstemmelse loven. Indenrigs- og Sundhedsministeriet administrerer endvidere CPR i overensstemmelse med reglerne i lov om Det Centrale Personregister (..) Indenrigs- og Sundhedsministeren fastsætter nærmere regler for kommunalbestyrelsernes medvirken ved CPR’s vedligeholdelse. Kommunalbestyrelsernes varetagelse af opgaverne efter loven sker på grundlag af CPR eller, efter indenrigs- og sundhedsministerens nærmere bestemmelse, andre registre, som er dannet alene på grundlag af CPR og indeholder de pågældende oplysninger i ajourført form.

  24. Case: Databehandler/dataansvarlig Datatilsynets brev af 3. april 2012, journalnummer: 2011-631-0136 I praksis varetog KL »ejerrollen«for køreprøve-bookingsystemet på kommunernes vegne. KL agerede dermed i praksis som dataansvarlig, selvom det af fællesanmeldelsen fremgik, at kommunerne var dataansvarlige. KL handlede dermed som dataansvarlig uden at være berettiget dertil. KL overførte bl.a. køreprøvesystemet til en cloud-løsning uden at leve op til persondatalovens krav om en skriftlig databehandleraftale. Endvidere viste det sig, at cloud-løsningen havde en sikkerhedsbrist.

  25. Lovens område: Sagsbehandlingsloven eller persondataloven? • Den lov der giver den bedste retsstilling (§ 2, stk.1 ) • Ansøgningssager • Tekniske forhold kan være udslagsgivende.

  26. Fiktiv case: Sagsbehandlingsloven eller persondataloven? En sagsbehandler noterer oplysninger om en borger i et tekstbehandlingssystem. Umiddelbart herefter bliver dokumentet printet og journaliseret og fremsendes sammen med sagens øvrige akter til en sagsbehandler i en anden forvaltningsmyndighed. Skal videregivelsen af oplysningerne vurderes efter persondataloven eller sagsbehandlingsloven?

  27. Fiktiv case: Sagsbehandlingsloven eller persondataloven? En sagsbehandler noterer oplysninger om en borger i et tekstbehandlingssystem. Umiddelbart herefter bliver dokumentet printet og journaliseret. Nogle måneder senere anmoder en anden myndighed om oplysningerne. Sagsbehandleren finder de journaliserede dokumenter frem og fremsender sagen. Er videregivelsen reguleret af persondataloven eller sagsbehandlingsloven?

  28. Case: Behandling UfR2011.2343 H Notater fra en sygefraværssamtale om alkoholmisbrug var skrevet på et tekstbehandlingssystem. I forbindelse med en ansættelse blev disse oplysninger telefonisk fra en tidligere arbejdsgiver. Oplysningerne var nedskrevet på et tekstbehandlingssystem. Under telefonsamtalen blev oplysningerne om alkoholmisbruget videregivet per hukommelse. Er videregivelsen omfattet af persondatalovens regler om behandling, jf. § 3, nr. 2?

  29. Opsummering • Lovens område: • Personhenførbare oplysninger, jf. ”Klage over Esbjerg Kommune” • Behandling af personoplysninger • Lovvalg, jf. UfR 2011.2343 H • Dataansvarlig/databehandler, jf. ”Køreprøve-booking”

  30. PAUSE

  31. Grundlæggende principper • God databehandlingsskik • Proportionalitet • Saglighed • Formålsbestemthed • Tidsbegrænsning

  32. God databehandlingsskik § 5, stk. 1 Oplysninger skal behandles i overensstemmelse med god databehandlingsskik.

  33. Case: God databehandlingsskik Datatilsynets brev af 16. december 2008, journalnummer: 2007-323-0026 og 2007-632-0015 Ansøgningssager om tilskud til invalidebiler og sociale sager om såkaldte »bekymringsbørn« kunne findes på kommunens hjemmeside. Desuden havde byrådsmedlemmer og alle kommunens ansatte adgang til omkring 43.000 personnumre via kommunens intranet.

  34. Formålsbestemthed § 5, stk. 2 Indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og senere behandling må ikke være uforenelig med disse formål.

  35. Er formålsbestemthedsprincippet en nyskabelse? • Europarådets konvention 108/81 om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger af 28. januar 1981. • Ratificeret af Danmark i 1989. • Formålsbestemthedsprincippet er kodificeret i konventionens art. 5b. • Danmark har meddelt, at konventionen ikke finder anvendelse for Færøerne og Grønland.

  36. Relevans og proportionalitet § 5, stk. 3 Oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles.

  37. Case: Proportionalitet Et fitnesscenter foretager tv-overvågning af omklædningsrum for at kunne dokumentere eventuelle tyverier og indbrud. Tv-optagelserne opbevares efter forskrifterne for datasikkerhed. Er optagelserne i strid med persondataloven?

  38. Case: Proportionalitet Et boligselskab modtager en liste fra kommunen, hvor de pågældende borgere var listet efter personnummer. På denne liste skulle boligselskabet herefter indtaste de ændringer i lejeforholdene, der måtte være, og tilbagesendte listen til kommunen. Dette letter arbejdet for kommunen når der f.eks. skal tages stilling til ændringer i udbetaling af boligsikring. Er denne praksis i strid med persondataloven?

  39. Datakvalitet § 5, stk. 4 Behandling af oplysninger skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne. Der skal endvidere foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges.

  40. Tidsbegrænsning § 5, stk. 5 Indsamlede oplysninger må ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.

  41. Case: Tidsbegrænsning Datatilsynets j.nr. 2003-313-0180 En borger klager over, at Parkering-København behandler oplysninger om ham, selvom han havde betalt sin parkeringsafgift. Oplysningerne blev bevaret for at Parkering-København kunne behandle evt. klager og ville først blive slettet efter 5 år. Er dette i strid med persondataloven?

  42. Hjemmelsprincippet • Hjemmelsprincippet er ikke direkte udtrykt i loven. Princippet fremgår af loven generelt. • Hjemmelsprincippet indebærer, at personoplysninger ikke kan behandles uden lovhjemmel. • Hjemmel skal enten være tilstede i særlovgivningen eller i persondataloven.

  43. Opsummering • Grundlæggende principper for behandling af personoplysninger • Principperne fortæller ikke noget om hvorvidt behandlingen er lovlig/berettiget

  44. Kategorisering af personoplysningerne • Almindelige personoplysninger, § 6. • Følsomme personoplysninger, § 7, stk. 1. • Andre følsomme personoplysninger, § 8, stk. 1. • Personnummer, § 11

  45. Personnummer (§ 11)

  46. Nødvendighedskriteriet De praktiske hovedregler for intern behandling i den offentlige forvaltning: • § 6, stk. 1, nr. 3, 6 og 7. • § 7, stk. 2, nr. 4. • § 8, stk. 1.

  47. Behandling af almindelige personoplysninger, § 6 Behandling må ske, når en af følgende betingelser er opfyldt: • Borgeren har givet sit udtrykkelig samtykke (nr. 1). • Det er nødvendigt for at kunne opfylde en aftale (nr. 2). • Det er nødvendigt for at overholde en retlig forpligtelse (nr. 3). • Det er nødvendigt for at beskytte den registreredes vitale interesser (nr. 4). • Det er nødvendigt for at kunne udføre en opgave i samfundets interesse (nr. 5). • Behandling sker som led i myndighedsudøvelse (nr. 6). • Det er nødvendigt af hensyn til en berettiget interesse (nr. 7).

  48. Behandling af følsomme personoplysninger Udgangspunktet er, at der ikke må behandles personfølsomme oplysninger medmindre: • Borgeren har givet sit udtrykkelige samtykke. • Behandlingen er nødvendig for at beskytte borgeren eller en anden person vitale interesser, hvor den pågældende ikke er i stand til at give sit samtykke. • Behandlingen vedrører oplysninger, som er blevet offentliggjort af borgeren selv og det er sket på borgerens eget initiativ. • Behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares.

  49. Datilsynets praksis Positiv hjemmel Samkøring m.h.p. kontrol Offentliggørelse Videregivelse Indsamling og intern anvendelse Almindelige personoplysninger Følsomme personoplysninger

  50. Case: Behandling af almindelige personoplysninger (navn og adresse) Datatilsynets j.nr. 2004-313-0247 En borgerhenvendelse til kommunen var refereret i en sagsfremstilling til kommunalbestyrelsen. Referatet fra mødet blev offentliggjort, og heraf fremgik borgerens navn og adresse. Efterfølgende gjorde borgeren indsigelse mod offentliggørelsen og klagede til Datatilsynet. Borgeren, der var pensioneret læge anførte, at han tidligere var blevet udsat for generende adfærd fra borgere, der opsøgte ham på bopælen for at skaffe receptpligtig medicin. Kommunen anførte heroverfor, at offentliggørelsen var et led i den demokratiske proces.

More Related