GDPR og Databeskyttelsesloven

Question 1

Hvem er omfattet af GDPR?

Answer 1

Alle fysiske personer - gælder derfor både privat og offentligt ansatte

Question 2

Hvad betyder det, at det er handlingen som GDPR regulerer?

Answer 2

At det ikke er sektorer eller personer, hvis adfærd er begrænset, men selve den elektroniske databehandling.

Elektronisk databehandling er bredt defineret. Så længe det har rørt noget elektronik, så er det omfattet af GDPR.

Question 3

Hvad er GDPR? Hvad er Databeskyttelsesloven? Hvad er forskellen

Answer 3

GDPR: EU-retligt regelsæt der gælder i alle EU-lande. Kommer direkte fra EU og laves ikke om, da det er en forordning.

Databeskyttelsesloven: danske særregler der suppelrer og præciserer forordningen.

Question 4

Hvad er formålet med databeskyttelsesforordnignen og -lovgivningen?

Answer 4

1. Sikre personers integritet: sikre høj beskyttelse af privatlivets fred, da data eks. kan bruges til krænkende formål.
2. Sikre at personoplysninger kan udveksles mellem EU-lande

Question 6

Hvad er forskellen i formål mellem datalovgivningen og forvaltningsloven?

Answer 6

Lovene har to forskellige hensyn.

Forvaltningsloven: sikre borgernes retsikkerhed, træffe rigtige lovlige afgørelser.

GDPR: sikre borgernes integritet. En overtrædelse af GDPR i en forvaltningsretlig sag har ikke ugyldighedsvirkning.

Question 7

Står dataregler kun i GDPR og databeskyttelsesloven?

Answer 7

Speciallovigning kan uddybe dataregler, såfrem de stemmer overens med de eu-retlige regler. Eks. har sundhedsloven uddybet datargler på dett områed, men respekterer fuldt ud GDPR og databeskyttelsesloven.

Question 8

Hvordan indhenter myndigheder personlige oplysninger i ansættelsessager, når de er omfattet GDPR?

Answer 8

De skal have samtykke hertil (§ 29), og dette er ikke i strid med GDPR.

§ 31 fortrænges heller ikke.

Question 9

Hvad er forordningens og lovens anvendelsesområde?

Answer 9

Automatisk elektronisk databehandling af personoplysninger! (og elektronisk manuelle registre, så man undgår at behandlingen flytter derhen).

Question 10

Sondre datalovgivningen mellem afgørelsessager og faktisk forvaltningsvirksomhed?

Answer 10

Nej, alt der foregår i det offentlige er underlagt GDPR. Vi bruger heller ikke partsbegrebet, men derimod begrebet om den registrerede.

Question 11

Hvem i det offentlige er dataansvarlig?

Answer 11

Den myndighed der har oplysninger. Det er den dataansvarlige der skal på mål for krækelser.

Question 12

Hvad omfatter GDPR ikke?

Answer 12

Behandling af personoplysninger, der foretages af fysiske personer som led i rent personlige eller familimæssige aktiviteter.

Det handler om funktionen - ikke apparatet! Eks. kan vi være underlagt GDPR på arbejdet, men når vi hjem og åbner samme computer er vi det ikke længere.

Question 13

Gennemgå Lindkvist-sagen og hvad den siger om GDPR

Answer 13

Lindkvist er en upopulær dame i byen. Hun er formand for en forening, og hun skriver på en hjemmeside at hun måtte aflyse et møde, da et andet bestyrelsesmedlem brækkede benet. Hun blev sigtet: dette var i mod GDPR.

Sagen vakte opmærksomehd i Sverige, og de sendte den til EU. Dommen: vidergivele af oplysninger om et brækket ben er krænkelse af GDPR. Hun får en bøde på 4.000 sek.

Question 14

Gennemgå sagen om Blotteren i Brugsen og hvad den siger om GDPR

Answer 14

Datter mødte en blotter i Brugsen. Mor blev harm og fik videoovervågningen, som hun lagde på FB med mandens ansigt.

Dette var en krænkelse af hans datarettigheder. Han blev her vist i en ubehagelig handling, og det blev lagt ud på et offentligt forum.

Question 15

Er der særregler for det offentlige?

Answer 15

Ja, det gør der.

Artkel 37: offentlige myndigheder skal have en databeskyttelsesrådgiver.

Question 16

Gennemgå Nowak-sagen

Answer 16

Nowak dumpede eksamen 4 gange, søgte aktindsigt i censors noter. Fik nej. Nowak siger det er personoplysninger. EU-domstolen: Nowak har ret, noterne er personhenførbare fordi de er et produkt skabt af ham.

Der skal altså ikke meget til før en oplysning er personhenførbar.

Question 17

Hvad er personoplysninger?

Answer 17

Enhver information om en identificerede eller identificerbar fysisk personer.

Vær obs. pseudoanonymiserede oplysninger, eks. flow-nr.

Question 18

Oplist en række nyskabelser ved GDPR?

Answer 18

1. Alle offentlige myndigheder skal have en databeskyttelsesrådgiver
2. Konsekvensanalyser: ved behandling er personoplysninger skal sælige risici ved offentliggørelse, eks. religiøse oplysninger, konsekvensberegnes. Vi skal overveje hvordan vi afbøder dem.
3. Man skal lave fortegneler over behandlingsaktiviteter
4. Data protection by design: man skal tilpasse beskyttelses til det enkelte system

Question 19

Oplist principper for databehandling (Artikel 5)

Answer 19

1. Lovlighed
2. Rimelighed
3. Gennemsigtighed
4. Formålsbegrænsning
5. Dataminimering
6. Opbevaringsbegrænsning
7. Integritet og fortrolighed
8. Ansvarlighed

Question 20

Hvad er det dobbelte hjemmelskrav?

Answer 20

At alle offentlighede myndigheder skal have hjemlen på plads to steder: de skal eks. træffe materielt rigtige afgørelser samtidig med at de har den relevante behandlingshjemmel i GDPR.

Dog kun ved personoplysninger: hvis aktieselskab søger byggetilladelse, er det kun byggeloven, ikke ogs GDPR.

Question 21

Hvad betyder rimelighed / elasticitet ift. GDPR?

Answer 21

At datatilsynet indenfor en vis ramme kan vurderer hvad der er god skik ift. databehandling.

Eks. skiftede rejsekort behandlingshjemmel. Blev set som dårlig skik.

Question 22

Hvad indebærer principperne om gennemsigtighed, formålsbegrænsning, opbevaringsbegrænsning og dataminimering?

Answer 22

1. Det skal kunne forstås hvad der sker
2. Behandlingen skal holdes indenfor formålet
3. Vå må ikke opbevare det i længere tid end nødvendigt. Man overfører derfor oplysninger til et arkiv indenfor den offentlige forvaltning.
4. Vi må ikke samle ind end højest nødvendigt

Question 23

Hvad siger artikel 6 i GDPR om lovlig behandling?

Answer 23

.At mindst et af artiklens forhold skal være opfydt.

Forhold inkluderer eks.:
- samtykke
- nødvendig for personers fysisk vitale interesser
- nøvendig for samfundets interesser

Nøvendighedsrkav: hvorvidt en af artiklens forhold er gældende kræver skøn over oplysningens nødvndighed-

Question 24

Hvad siger artikel 9 om særlige personoplysninger

Answer 24

HR: Følsomme personoplysninger af særlig karakter må ikke behandles.

Disse oplysnigner inkluderer:
1. Race og etnisk oprindelse
2. Politisk, religiøs eller filosofisk overvisning
3. Fagforeningsforhold
4. Genetiske og biometriske data
5. Helbredsoplysnigner, seksuelle forhold og seksuel orientering

U: (artikel 9, stk. 2) nogle følsomme personoplysninger vi nødt til at behandle, men det kræver udtrykt lovhjemmel. Eks. behandler sygehussektoren helbredsoplysninger.

Kontekst: vi bruger altid artikel 6, men nogle oplysninger falder også under 9. Vi skal have hejemmel begge steder.

Question 25

Hvad siger databeskyttelseslovens § 8 om strafbare forhold - hvorfor står den her og ikke i forordningen?

Answer 25

Siger kort sagt at oplysninger om strafbare forhold (tidligere straffe) som hovedregel ikke må vidergives.

Forordningen har valgt ikke at omfange denne type oplysninger, hvorfor FT har suppleret.

Question 26

Hvad er formålet med Databeskyttelseslovens §§ 9-10 om retsinfo, statistik og videnskab?

Answer 26

At de følsomme oplysninger i forordningen godt kan vidergives hvsi det er mhp. at udføre videnskab, statistik eller retsinformationssystemer.

Question 27

Hvad siger databeskyttelseslovens § 11 om cpr?

Answer 27

At det offentlige kan behandle oplysnigner om personnumre, men at offentliggøre kræver samtykke (mellem myndigheder).

Question 28

Hvad er oplysningspligten jf. GDPR (art. 13-14)?

Answer 28

Når en myndighed indsamler oplysninger om den registerede enten hos denne (art. 13) eller en anden (art. 14), skal den registrerede oplyses om en række forhold, eks.:

• Hvem den dataansvarlige er
• Hvad databeskyttelsesrådgiveren er
• hvilke formål data indsamles for
• hvilke legitime interesser
• evt. modtagere
  mm.

Question 29

Hvad indebærer GDPR’s indsigtgsret? (art. 15)

Answer 29

Den registrerede har til hver en tid ret til indsigt i sine oplysninger.

Question 30

Hvad indebærer GDPR’s regler om berigtigelse? (art. 16)

Answer 30

Den registreredes ret til at få urigtige oplysninger om sig selv berigtigede.

Man kan kun kræve berigtigelse af faktuelle forhold, ikke skønsmæssige vurderinger.

Question 31

Hvad indebærer indsigelsesretten (i særlieg situationer) ifm. gdpr?

Answer 31

At man i særlige situationer kan gør indsigelse mod myndigheders databehandling. Kun ud fra vægtige grunde.

Eks. læge hvis navn var offentliggjort, men blev bestjålet af narkomander.

Question 32

Hvad indebærer databeskyttelseslovgivningens § 22?

Answer 32

Den begrænser oplysningspligten og bretten til indsigt.

Eks. med mand fra Nørreport station. Kunne ikke få indsigt i kameraerne med ham på, da han ville kunne opdage blinde vinkler og muliggøre kriminalitet.

Question 33

Hvad skal man gøre ved brud på persondatasikkerhed?

Answer 33

1. Skal indberettes til datatilsynet før 72 timer er gået
2. Den registrerede skal underrettes om karakteren er bruddet

Question 34

Hvor stort et erstatningansvar er der ved brud af GDPR?

Answer 34

Enhver der har lidt materiel elelr immateriel sakade kan få erstatning.

Private: op til 20 mio. euro, offentlige: 8-16 mio. kr.