Brainscape's Knowledge GenomeTM

Browse over 1 million classes created by top students, professors, publishers, and experts.


See full index

IT-ret > 9. Persondataret > Flashcards

9. Persondataret Flashcards

1
Q

Hvad er Datatilsynet?

A

Datatilsynet er den administrative myndighed, som i Danmark fører tilsyn med enhver behandling omfatter af GDRP eller databeskyttelsesloven.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Er Datatilsynets afgørelser endelige?

A

Ja, de kan ikke indbriges for andre administrative myndigheder, men der er mulighed for indbringelse for de almindelige domstole.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Hvad er formålet med GDRP?

A

At sikre fysiske personers grundlæggende rettigheder samt frihedsrettigheder, skabe ensartede regler i EU samt tillige gøre det nemmere for EU-landene at overføre personoplysninger imellem dem.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Hvilket område er specifikt undtager fra GDRP, og hvorfor laves en lov?

A

Statens sikkerhed er specifikt undtaget fra forordningen. Der laves en databeskyttelseslov, da forordningen på visse områder tildeler medlemslandene en række frihedsgrader.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Hvad finder GDRP anvendelse for?

A

Behandling af personoplysninger, som helt eller delvist foretages digitalt. Loven gælder tillige for oplysninger, der er eller vil blive indeholdt i et register.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Hvem omfatter GDRP?

A

Både private og offentlige dataansvarlige.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Hvad er GDRP’s territoriale anvendelsesområde?

A

Forordningen gælder for behandling af personoplysninger, som foretages som led i aktiviteter, der udføres af både dataansvarlige og databehandlere, som er etableret i EU, uanset om behandlingen finder sted i EU eller ej.
Dataansvarlige og databehandlere, som ikke er etableret i EU, er omfattet af forordningen, når der behandler personplysninger om registrerede, der befinder sig i EU, når behandlingsaktiviterne vedrører udbud af varer eller tjenesteydelser, eller hvis de pågældendes adfærd i EU overvåges.
Disse dataansvarlige og -behandlere er tillige forpligtet til at udpege en repræsentant i EU - og om muligt også en DPO, hvis påkrævet.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Kan private behandle personoplysninger?

A

Private personer kan frit behandle personoplysninger, så længe de ikke videregives til offentligheden.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Hvad er en dataansvarlig?

A

Den dataansvarlige er den, som fastlægger det formål , som personoplysningerne skal behandles i forhold til, samt beslutter hvilke hjælpemidler, der skal anvendes til behandlingen.
En dataansvarlig kan være både en privat og juridisk person, en offentlig myndighed, en institution m.v.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Hvad er en databehandler?

A

Databehandleren behandler personoplysninger på vegne af den dataansvarlige.
En databehandler kan være både en privat og juridisk person, en offentlig myndighed, en institution m.v.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Hvad indebærer princippet om ansvarlighed?

A

At den ansvarlige er ansvarlig for overholdelsen af grundlæggende behandlingsprincipper, og at den ansvarlige skal kunne påvise overholdelsen heraf.
At den dataansvarlige skal tilrettelægge sikkerhedsforanstaltningerne ud fra den konkrete behandlings karakter, omfang, sammenhæng og formål og være i stand til at dokumentere at behandlingen sker i overensstemmelse med GDRP.
Overlades behandlingen til en databehandler, er den dataansvarlige forpligtet til kun at anvende databehandlere, der kan garantere, at GDRP overholdes.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Hvad regulerer forholdet mellem databehandleren og den dataansvarlige?

A

Den indgåede databehandleraftale eller et andet retligt bindende dokument (aftale).
Aftalen regulerer bl.a. formålet med behandlingen, typer af registrerede, typen af personoplysninger, rettigheder og forpligtelser m.v.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Hvilke muligheder har databehandleren for at anvende en underdatabehandler?

A

Dette kræver enten specifik eller generel godkendelse fra den dataansvarlige.
Databehandleren skal underrette den dataansvarlige om planlagt outsourcing og udskiftning af underdatabehandlere m.v., så den dataansvarlige har mulighed for at gøre indsigelser imod dette.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Hvad gælder om dataansvarlige og -behandleres (uden for EU) pligt til at udpege en repræsentant i EU?

A

Hvis en dataansvarlig eller databehandling, som er etableret uden for EU, udbyder varer eller tjensteydelser inden for EU eller overvåger registreredes adfærd inden for EU, er de forpligtede til at udpege en repræsentant inden for EU. Kravet gælder ikke, hvis der alene er tale om lejlighedsvis behandling.
Repræsentanten skal befinde sig i et af de lande, hvori der udbydes varer/tjenesteydelser eller som overvåges.
Kravet gælder ikke offentlige myndigheder.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Hvad er fælles dataansvar?

A

Situationen, hvor to eller flere dataansvarlige i fællesskab fastlægger formål og hjælpemidler.
Alle registrere kan da udøve deres rettigheder over for alle dataansvarlige.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Hvad gælder der om fortegnelser over behandlingsaktiviter?

A

Dataansvarlige og databehandlere skal selv føre fortegnelser over deres behandlingsaktiviteter.
Fortegnelsen skal være skriftlig.
Fortegnelsen skal anvende navn på databehandler. evt. fælles dataansvar, evt. DPO, formål med behandlingen, kategori af personoplysninger, kategori af registrerede samt kategori over dem, som oplysningerne evt. videregives til, samt evt. tidsfrister.
Ved overførsel til tredjeland skal vedlægges information herom samt retligt grundlag herfor.
Hvis databehandler, skal oplyses om den dataansvarlige.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
17
Q

Hvad er en DPO, og hvad er en DPO’s opgaver?

A

En data protection officer.
Forpligtelsen til at udpege en DPO gælder alle offentlige myndigheder og private ansvarlige og databehandlere, hvis kerneaktivitet består i behandling af personoplysninger, som i medfør af omfang eller karakter kræver en systematisk eller regelmæssig overvågning.
Titlen som DPO kræver, at forordningens DPO krav er opfyldt.
DPO’en kan være ansat eller en ekstern konsulent. Kontaktoplysninger skal offentliggøres og meddeles Datatilsynet.
DPO’en skal inddrages tilstrækkeligt og rettidigt i forhold til spørgsmål vedrørende beskyttelse af personoplysninger. DPO’en opgave er at rådgive den dataansvarlige om dennes forpligtelse i henhold til forordningen samt overvåge overholdelsen af disse forpligtelser.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
18
Q

Skal databehandleren udpege en DPO, hvis den dataansvarlige skal?

A

Ikke nødvendigvis - det afhænger af omfanget af de behandlinger, som databehandleren selv foretager.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
19
Q

Hvad er en personoplysning?

A

En personoplysning er enhver form for information om en identificeret eller identificerbar fysisk person.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
20
Q

Er en dynamisk IP-adresse en personoplysning?

A

Oplysninger i form af dynamiske IP-adresser er oplysninger om en identificerbar person, jf. Breyer-dommen. Dette er også tilfældet, selvom hjemmesideejeren er nødt til at knytte IP-adressen med internetoperatørens oplysninger i form af f.eks. navn og adresse m.v.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
21
Q

Hvad er følsomme oplysninger?

A

Følsomme oplysninger afgrænset negativt de almindelige oplysninger.
Følsomme oplysninger er nedenstående:
Personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering - GDRP art. 9.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
22
Q

Hvad er en helbredsoplysning?

A

Oplysninger om en persons fysiske eller mentale helbred.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
23
Q

Hvad er genetiske data?

A

Oplysninger vedrørende en persons fysisk arvede eller erhvervede genetiske karakteristika, som giver en entydig information om den fysiske persons fysiologi eller helbred.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
24
Q

Hvad er biometriske data?

A

Personoplysninger, der som følge af en specifik teknisk behandling vedrørende den fysiske persons fysiske, fysiologiske eller adfærdsmæssige karakteristika giver en entydig identifikation af den pågældende.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
25
Q

Hvad er almindelige personoplysninger?

A

Oplysninger, som ikke er følsomme.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
26
Q

Er oplysninger om straffedomme og lovovertrædelser samt sociale problemer følsomme oplysninger?

A

Oplysninger om straffedomme og lovovertrædelser samt sociale problemer er ikke omfattet af forordningens definition på følsomme oplysninger, hvorfor de skal anses for værende almindelige personoplysninger (modsat den gamle persondatalov, hvor de var karakteriseret som semi-følsomme oplysninger).
Behandling af disse oplysninger kan dog kun ske under kontrol af en offentlig myndighed, eller hvis det er fastsat i lovgivningen.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
27
Q

Hvad er pseudonymisering?

A

Behandling af personoplysninger på en sådan måde, at oplysningerne ikke længere kan henføres til en bestemt person uden brug af supplerende oplysninger.
De supplerende oplysninger skal opbevares adskilt. Pseudonymiserede oplysninger er stadig personoplysninger.

28
Q

Hvad udgør en behandling?

A

Enhver aktivitet eller række aktiviteter med eller uden brug digital databehandling som personoplysninger eller samlinger af personoplysninger gøres til genstand for.
Det skal hele tiden vurderes, om den konkrete behandling i er overensstemmelse med loven og med behandlingsformålet.

29
Q

Hvad er de grundlæggende behandlingsprincipper i GDRP art. 5?

A

Lovlighed, rimelighed og gennemsigtighed - god databehandlingsskik.

30
Q

Hvad indebærer finalitéprincippet?

A

At personoplysninger skal indsamles til udtrykkeligt angivne og saglige (legitime) formål. Viderebehandling må ikke være i strid med de oprindeligt angivne formål.
Kravet om udtrykkelighed indebærer, at der kan angives et formål, som er tilstrækkeligt veldefineret til at skabe klarhed og åbenhed omkring behandlingen.
Kravet om legitime formål skal vurderes i forhold til den pågældende virksomhed.

31
Q

Hvad indebærer kravet om uforenelighed?

A

At de oplysninger, de indsamles af den dataansvarlige ikke frit kan genbruges, videregives eller lignende.

32
Q

Hvad indebærer princippet om dataminimering (proportionalitet)?

A

At behandlede oplysninger skal være relevante og tilstrækkelige og begrænset til, hvad der er nødvendigt for de formål, hvortil oplysningerne behandles.
Der må ikke foreligge overskudsinformation. Det skal vurderes, om formålet kan nås med mindre indgribende midler. Perioden for behandling af personoplysningerne minimeres desuden til det nødvendige.

33
Q

Hvad indebærer princippet om rigtighed (ajourføring)?

A

At personoplysninger om den registrerede skal være korrekt og om nødvendigt ajourførte. Den dataansvarlige skal tage ethvert rimeligt skridt for at sikre, at personoplysninger som er urigtige i forhold til behandlingsformålet straks berigtiges eller slettes. Den registrerede kan selv fremsætte anmodning om, at den dataansvarlige berigtiger urigtige oplysninger eller sletter oplysninger, som ikke længere er nødvendige i henhold til behandlingsformålet.

34
Q

Hvad indebærer princippet om opbevaringsbegrænsning (tidsbegrænsning)?

A

At indsamlede oplysninger ikke må opbevares på en måde, der gør det muligt at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, som oplysningerne behandles i henhold til.
Kravet sikrer unødig dataophobning.

35
Q

Hvad indebærer princippet om integritet og fortrolighed?

A

At personoplysninger behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende oplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling, hændeligt tab, tilintetgørelse og beskadigelse.

36
Q

Hvad er et samtykke i henhold til art. 6?

A

En frivillig, specifik, informeret og utvetydig viljestilkendegivelse, hvorved den registrerede indvilger i, at oplysninger om den pågældende gøres til genstand for behandling.

37
Q

Forklar kravene til et samtykke efter art. 6?

A

Frivillig: Samtykket må ikke være afgivet under tvang. Et samtykke for en modydelse er tilladt.
Specifik: Det skal være så konkret, at det fremgår klart og tydeligt, hvad der meddeles samtykke til.
Informeret: Nærmere information om, hvad der meddeles samtykke til. Den registrerede skal have tilstrækkelig information til at kunne vurdere, om samtykke skal gives.
Utvetydigt: Den registrerede skal ved en tydelig handling tilkendegive sin accept til behandling af personoplysninger.

38
Q

Hvad gælder for tilbagekaldelse af et samtykke?

A

At det skal være lige så let at tilbagekalde et samtykke som at give et samtykke.

39
Q

Hvad er en informationssamfundstjeneste, og hvornår kan børn samtykke hertil?

A

Der er en tjeneste, som normalt ydes mod betaling, og som teleformidles af elektronisk vej på individuel anmodning. Børn kan samtykke, når de er 16 år (mulighed for fastsættelse af grænse ned til 13 år).

40
Q

Hvilke behandlingssituationer kan anvendes til behandling af almindelige personoplysninger?

A
  • Opfyldelse af en aftale, som den registrerede er part i samt situationer som ligger forud for indgåelsen af en egentlig aftale.
  • Overholdelse af en retlig forpligtelse, som påhviler den ansvarlige, f.eks. lovgivning
  • Opgaver i samfundets interesse og offentlig myndighedsudøvelse. Grundlaget herfor skal fremgå af EU-retten eller af national lovgivning.
  • Beskyttelsen af den registreredes eller en anden persons vitale interesser. Behandling bør kun finde sted, hvis ikke der findes en anden hjemmel, f.eks. hastende karakter, overvågelse af epidemier, ikke nå at hente samtykke, generelt interesser af fundamental betydning for den registrerede (risiko for økonomisk tab eller væsentlig skade)
  • Interesseafvejning, nødvendig for at den dataansvarlige eller tredjemand kan forfølge en legitim interesse, og den registreredes grundlæggende rettigheder og frihedsrettigheder ikke strider imod.
41
Q

Hvad indebærer kravet om nødvendig ved brug af behandlingssituationer i art. 6?

A

At jo mere indgribende en behandlingssituation eller følsomme oplysninger, jo større krav stilles der til nødvendigheden af behandlingen af de pågældende oplysninger.

42
Q

Hvad er forskellen på et udtrykkeligt og utvetydigt samtykke?

A

Der er krav om et udtrykkeligt samtykke efter art. 9.

Det udtrykkelige samtykke kræver, at den registrerede viser sin viljestilkendegivelse gennem en aktiv handling.

43
Q

Hvilke behandlingssituationer kan anvendes til behandling af art. 9 oplysninger?

A
  1. Beskyttelse af vitale interesse, hvor den pågældende ikke fysisk eller juridisk er i stand til at samtykke.
  2. Behandling af oplysninger, som er tydeligt offentliggjort af den registrerede. De skal være offentliggjort - ikke blot bestemt til offentliggørelse. Offentliggørelse er sket, hvis de er videregivet til en bredere kreds af personer. Oplysninger skal være offentliggjort af den registrerede selv.
  3. Behandling som er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares. Gælder både i den registredes og den ansvarliges interesse.
    Omfatter også behandling for at fastslå tredjemands retskrav.
  4. Behandling for at overholde den ansvarliges eller registreredes arbejds-, sundheds- og socialretlige forpligtelser, kræver hjemmel i national ret eller EU.
  5. Foreninger, politiske parter o.l. som ikke er kommercielle, og hvis sigte er religiøst, politisk eller fagforeningsmæssigt kan behandle oplysninger som led i foreningens legitime aktiviteter, hvis der stilles de fornødne garantier.
44
Q

Hvad gælder om personnumre og kan disse overlades til databehandlere?

A

At disse ikke må offentliggøres uden et udtrykkeligt samtykke.
Disse kan overlades til databehandlere, som løser opgaver på den registreredes vegne.

45
Q

Hvad følger af reglen om transparens?

A

Den dataansvarlige er forpligtet til at træffe passende foranstaltninger over for den registrerede til opfyldelse af oplysningspligten over for den registrerede samt til at opfylde den registreredes ret til indsigt, sletning, dataportabilitet m.v.
Oplysningerne skal gives i en kortfattet, gennemsigtig, forståelig og lettilgængelig form og i et klart og enkelt sprog.

46
Q

Hvilke forhold skal den dataansvarlige af egen drift oplyse om?

A
  • Ansvarliges identitet og kontaktoplysninger, evt. DPO
  • Formålet og hjemmel
  • Legitim interesse, hvis interesseafvejningsreglen
  • Evt. modtagere af oplysningerne
  • Evt. information om overførsel til tredjeland.
  • Tidsrum eller kriterier for fastlæggelse heraf.
  • Oplysning om retten til indsigt, sletning, berigtigelse m.v.
  • Retten til at trække et samtykke tilbage
  • Retten til at klage til Datatilsynet
  • Forekomsten af automatiserede afgørelser, herunder profilering.
47
Q

Hvornår skal oplysningspligten opfyldes?

A

Hvis oplysningerne indsamles hos den registrerede, da på dette tidspunkt. Hvis ikke de indsamles hos den registrerede - inden rimelig frist - dog senest en måned. Hvis kommunikation med den registrerede, da i forbindelse hermed første gang, der kommunikeres.

48
Q

Hvornår kan man undlade at opfylde oplysningsforpligtelsen?

A

Hvis den registrerede allerede er bekendt med oplysningerne, hvis det er umuligt, eller hvis det vil være en uforholdsmæssig stor indsats. Desuden også, hvis indsamling er udtrykkeligt fastsat ved lov.

49
Q

Hvad indebærer indsigtsretten?

A

Formålet er at skabe åbenhed omkring behandlingen.
Den registrerede har ret til at kende formålet med behandling, kategorier af personoplysninger, modtagere af oplysningerne, tidsrum eller fastlæggelse heraf, ret til indsigt, sletning, berigtigelse, dataportabilitet m.v., retten til at klage, hvis ikke indsamlet hos den registrerede information om hvorfra, automatiserede afgørelser og profilering, videregivelse til tredjeland

50
Q

Hvad indebærer retten til berigtigelse og sletning?

A

At den dataansvarlig skal berigtige urigtige oplysninger uden unødige forsinkelse samt at oplysninger skal slettes, når de ikke længere er nødvendige for behandlingsformålet, eller hvis samtykke tilbagekaldes, hvis oplysningerne er behandlet ulovligt, eller hvis der gøres indsigelse og der ikke er legitime grunde til at fortsætte.
Den dataansvarlige skal informere modtagere og slette offentliggjorte oplysninger.

51
Q

Hvad indebærer retten til dataportabilitet?

A

Hvis behandling baseret på et samtykke eller på opfyldelse af en aftale, da ret til at få udleveret sine oplysninger i et struktureret, almindeligt og maskinlæsbart format.

52
Q

Hvad gælder om automatiske individuelle afgørelser?

A

Den registrerede har en generel indsigelsesret.
At den registrerede har ret til ikke at være genstand for afgørelser, som alene er baseret på automatiske individuelle afgørelser, herunder profilering, som har egentlig retsvirkning for den pågældende.
Dog tilladt hvis nødvendigt for indgåelsen eller opfyldelsen af en aftale, baseret på samtykke eller har udtrykkelig lovhjemmel.

53
Q

Hvad indebærer det generelle sikkerhedsprincip?

A

At der skal gennemføres passende tekniske og organisatoriske foranstaltninger, som indebærer et sikkerhedsniveau, der passer til de risici, der er knyttet il den pågældende behandling, f.eks. pseudonymisering, kryptering osv.

54
Q

Hvad gælder ved brud på datasikkerheden?

A

Den dataansvarlige skal underrette Datatilsynet. Hvis der er høj risiko for den registreredes rettigheder, skal den dataansvarlige også underrette den registrerede om bruddet.
Underretningen skal ske uden unødig forsinkelse og senest inden 72 timer efter konstateringen af bruddet. Alle brud på persondatasikkerheden skal dokumenteres, bruddets virkninger, faktiske omstændigheder ved bruddet og de foranstaltninger som er iværksæt for at afhjælpe det, ca. antal berørte og antal registreringer, evt. DPO, konsekvenser af bruddet.

55
Q

Hvordan defineres et brud på datasikkerheden?

A

Som et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring og uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller behandlet på anden måde.

56
Q

Hvad er en DPIA?

A

En konsekvensanalyse. En analyse af behandlingens konsenkvenser for privatlivsbeskyttelsen. Skal foretages, hvor formålet, karakteren eller sammenhængen udgør en høj risiko for den registreredes rettigheder, herunder frihedsrettigheder.
En konsekvensanalyse skal indeholde en systematisk angivelse af planlagte behandlingsaktiviteter og deres formål. Er behandlingerne nødvendige og proportionale, vurdering af risici for rettigheder og frihedsrettigheder, foranstaltninger for at imødegå risici, garantier, sikkerhedsforanstaltninger m.v.

57
Q

Hvad er en overførsel af personoplysninger?

A

En overførsel finder sted, når en personoplysning, der behandles i medfør af et lands lovgivning, flyttes, så det omfattes af et andet lands lovgivning.
Overførsel af personoplysning er tilladt EU-landene imellem.
En overførsel kræver en vis grad af permanens - transmission er f.eks. ikke omfattet.

58
Q

På hvilke tre måder kan der ske overførsel af personoplysninger?

A
  1. Videregivelse (ny dataansvarlig, nyt formål)
  2. Overladelse (overladelse til eks. databehandler på vegne af den ansvarlige)
  3. Intern anvendelse (den dataansvarlige selv - blot i et andet land)
59
Q

Hvad omhandler eksportlandets ret, overførselsreglerne og importlandets ret?

A

Hvorvidt eksportlandets regler for national behandling er overholdt.
Overførselsreglerne vedrører, hvorvidt det er juridisk muligt at flytte oplysninger til et andet land.
Importlandets ret vedrørende, om det for importøren er faktisk og retligt muligt at anvende de importerede oplysninger.

60
Q

Hvilken sondring foretages ved overførsel til tredjelande?

A

Om der er tale om et tredjemand med eller uden et tilstrækkeligt beskyttelsesniveau. Et tilstrækkeligt beskyttelsesniveau svarer nogenlunde til reglerne i GDRP.

61
Q

Hvad gælder for tredjelande med et tilstrækkeligt beskyttelsesniveau?

A

At der kan overføres personoplysninger til disse lande på samme måde som med lande i EU. EU-Kommissionen skal have fastslået, at landet har et tilstrækkeligt beskyttelsesniveau. Der tages hensyn til det pågældende lands retlige regulering, samt øvrige grundlæggende rettigheder m.v.

62
Q

Hvad gælder for tredjelande med uden et tilstrækkeligt beskyttelsesniveau?

A

En række betingelser skal opfyldes, herunder bl.a. den registreredes samtykke efter at være blevet bekendt med risici. Overførslen skal være nødvendig i forhold til en opregnet behandlingssituation.

63
Q

Hvad gælder der om standardkontrakter?

A

At hvis ikke den registrerede samtykker til overførslen eller denne ikke er nødvendig, kan der anvendes standardkontrakter, hvis den importerende dataansvarlige stiller en garanti for beskyttelsesniveauet.
Der findes 3 kontrakter - 2 til overførsel til dataansvarlige og 1 til databehandler.
Standardkontrakterne indgås mellem den eksporterende og importerende dataansvarlige. Der afgives et tredjepartsløfte til den registrerede.

64
Q

Hvad gælder om overførsel af personoplysninger inden for samme koncern?

A

At disse har mulighed for at indgå Binding Corporate Rules (BCR), således at der kan overføres personoplysninger. Koncernen udarbejder retningslinjer og regler for, hvordan den behandler personoplysninger i alle dele af koncernen. Datatilsynet skal godkende BCR’en for, at den er retligt bindende.
GDRP indeholder en lang række krav til BCR’en, bl.a. at EU-landene indestår for tredjelandenes behandling, beskrivelse af oplysninger, klageprocedure osv.

65
Q

Hvad gælder om overførsel til virksomheder i USA?

A

Virksomheder certificeret i forhold til Privacy Shield underlægges en række forstærkede forpligtelser i forhold til deres håndtering af personoplysninger.
Der kan overføres til disse virksomheder.
Alle registrerede i EU har lov til at klage over overførsel til USA gennem Privacy Shield på baggrund af en særlig Privacy Shield ombudsmandsinstitution.

66
Q

Hvilke sanktioner gælder efter GDRP?

A

Bøder på op til 4% af den årlige globale omsætning eller 20 mio. euro (offentlige myndigheder kun sidstnævnte) alt efter hvilket beløb, der er højest. (f.eks. manglende retligt grundlag for behandling)
Den lave kategori går op til 2% af den årlige globale omsætning eller 10 mio. euro (f.eks. ved manglende databehandleraftale).
Der er tale om en konkret vurdering, hvor alle relevante forhold inddrages.

IT-ret (17 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2024 Bold Learning Solutions. Terms and Conditions