Kap. 4 - Databeskyttelsesrettens Grundtræk Flashcards by Grith Gundelach

Er der nogle principper som altid skal overholdes?

Hvor står de principper?

Ja, de fremgår af art. 5.

Skal altid respekteres uanset behandlingsform og type af personoplysning og dataansvarlig.

How well did you know this?

Not at all

Perfectly

Hvad er behandling?

Art. 4, nr. 2.

Enhver aktivitet i forbindelse med personoplysninger

How well did you know this?

Not at all

Perfectly

Hvilke principper skal altid overholdes?

god databehandlingsskik
sagligt formål med indsamlingen
formålsbestemthedsprincippet
proportionalitetsprincippet
datakvalitet
tidsbegrænsningsprincippet
sikkerhed mm.
hjemmel.

How well did you know this?

Not at all

Perfectly

Beskriv principper om god databehandlingsskik.

Art. 5, stk. 1, litra a.

Personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde.

Eksempel: videregivelse af cpr-nummer til en som ikke må behandle disse.

How well did you know this?

Not at all

Perfectly

Beskriv princippet med det saglige formål?

Art. 5, stk. 1, litra b.

Indsamling skal ske til udtrykkeligt angivne og legitime formål.

Borgeren skal vide hvorfor oplysningerne indsamles.
Formålet skal være eksplicit formuleret.

Der skal være en sammenhæng med hvad den ansvarlige normalt indsamler og brugen og karakteren af oplysningerne.

How well did you know this?

Not at all

Perfectly

Hvad er formålsbestemthedsprincippet?

Art. 5, stk. 1, litra b og DBL § 5

Der skal være åbenhed og kontrol med de indsamlede oplysninger.

Indsamlingsformålet skal være styrende for senere behandling.
Behandling må ikke ske, hvis det er uforeneligt med formålet = negativt princip (der må ikke være uforenelighed).

Det kan fraviges af offentlige myndigheder i dansk ret, hvis der er bekendtgørelse

Er det muligt for borgeren at forudberegne den efterfølgende dataanvendelse?

How well did you know this?

Not at all

Perfectly

Hvad er proportionalitetsprincippet?

Art. 5, stk. 1, litra c.

De indsamlede oplysninger skal være relevante og tilstrækkelige.

Oplysningerne skal være brugbare i forhold til formålet og kun person som har et klart behov for at kende oplysningerne må få adgang til dem.

Dataminimeringsprincippet - f.eks. Ved brug af anonymisering eller pseudonymisering

How well did you know this?

Not at all

Perfectly

Hvad er princippet om datakvalitet?

Art. 5, stk. 1, litra d.

Dataansvarlig skal sikre, at der kun behandles rigtige og ikke vildledende oplysninger.

Korrektion, blokering, sletning.

Offentlige forvaltning = journaliserings-, notat- og arkiveringspligt.

How well did you know this?

Not at all

Perfectly

Hvad er tidsbegrænsningsprincippet?

Art. 5, stk. 1, litra e.

Identificerbare oplysninger må ikke opbevares længere end det er nødvendigt for at gennemføre den behandling, som er formålet.

Vejledende UP for opbevaringsfrist (Datatilsynet) = 5 år

Man kan dog godt arkivere oplysningerne, fremfor at slette (rigsarkivet) - særligt den offentlige forvaltning.

How well did you know this?

Not at all

Perfectly

Hvad er princippet om sikkerhed?

Art. 5, stk. 1, litra f.

Den ansvarlige er forpligtet til at sikre, at kun autoriserede personer får adgang til oplysninger mhp. autoriserede formål.

Der skal være en sikkerhedspolitik.

Art. 25 = databeskyttelse gennem design og standardindstillinger.

Der skal være

Fysisk sikkerhed (servere er placeret forsvarligt)
Systemteknisk sikkerhed (ikke muligt at trænge ind i it-systemerne, firewalls. I den offentlige sektor = kryptering, stærk og generel kryptering)
Organisatorisk sikkerhed (personale skal vide hvordan oplysninger sikres og arbejde med fortrolighed - logning af ansattes brug af persondata)

How well did you know this?

Not at all

Perfectly

Hvad skal den dataansvarlige gøre ved sikkerhedsbrud?

Meddele dette til Datatilsynet indenfor 72 timer efter at bruddet er konstateret (art. 33)

Hvis høj risiko for integritetskrænkelser skal den registrerede også meddeles (art. 34).

Når høj risiko for den registrerede skal den ansvarlige gennemføre en konsekvensanalyse (art. 35). Hvis behandlingen stadig ønskes gennemført, så skal den forelægges Datatilsynet (art. 36).

How well did you know this?

Not at all

Perfectly

Hvad er princippet om hjemmel?

Er ikke specifikt nævnt i forordningen.

UP: der skal være et objektivt lovbestemt grundlag for persondatabehandling.

How well did you know this?

Not at all

Perfectly

Hvad er princippet om ansvarlighed?

Art. 5, stk. 2.

Den dataansvarlige har ansvaret for at forordningen bliver overholdt.

How well did you know this?

Not at all

Perfectly

Hvad er udgangspunktet for følsomme oplysninger?

Oplysninger, som indeholder information om en persons egentlige private liv, eller hvis misbrug har stor betydning for personens integritet.

Denne oplysning bør kun i begrænset omfang være tilgængelig for andre.

Har et vist holdepunkt i EMRK og EU-chartret.

How well did you know this?

Not at all

Perfectly

Hvilke oplysninger er følsomme?

Art. 9, stk. 1:

race eller etnisk oprindelse
politisk, religiøs eller filosofisk overbevisning
fagforeningsmæssige tilhørsforhold
behandling af genetiske data, biometriske data med formålet at identificere en fysisk person
helbredsoplysninger
seksuelle forhold eller seksuel orientering.

UP: de oplysninger må ikke behandles.

How well did you know this?

Not at all

Perfectly

Hvad er biometriske data?

Fingeraftryk, kropsvarme, gangmåde.

Hvis de ikke bruges til identifikation, så er det blot en almindelig oplysning.

Hvorfor har man lavet en opdeling mellem følsomme og almindelige personoplysninger?

Fordi hvis man ikke lavede en opdeling, så ville man risikere at reglerne blev al for strenge og så vil persondataretten miste sin gennemslagskraft og være virkelighedsfjern.

Er strafbare forhold en følsom oplysning?

Den er ikke på listen i art. 9, stk. 1, men fremgår af art. 10, som henviser til de almindelige oplysninger.

DBL § 8 omhandler til gengæld strafbare forhold.

Private må behandle disse oplysninger, hvis samtykke eller det er nødvendigt til varetagelse af en berettiget interesse.

For en offentlig myndighed skal det være nødvendigt for myndighedsudøvelsen.

Er skatteoplysninger og cpr-nummer følsomt?

Skatteoplysninger = ikke følsomt, men fortroligt i DK = tavshedspligt

Cpr-nummer = i den offentlige sektor i DK er det en almindelig fortrolig oplysning. I den private sektor er det en følsom oplysning.

Fremgår også af art. 87 at identifikationsnumre må staterne selv regulere.
I DK har vi DBL § 11.

Hvad er en almindelig personoplysning?

Art. 6

Alt andet end hvad der fremgår af art. 9 og 10 eller oplysninger som er særreguleret.

Hvad er en personoplysning?

Art. 4, nr. 1.

Information om en identificeret eller identificerbar fysisk person.

Fx er krypterede oplysninger omfattet, hvis nogen har adgang til krypteringsnøglen.

Ip-adresse og registreringsnummer.

Billede, stemme og fingeraftryk er omfattet

Hvad er behandlingsbegrebet?

Art. 4, nr. 2.

Under hvilke betingelser alle former for behandling må fonde sted i relation til den pågældende oplysningskategori.

Behandlingen skal være i overensstemmelse med mindst én af behandlingsbetingelser

Hvilke behandlingsbetingelser findes der?

Samtykke (både for følsomme og almindelige personoplysninger)
nødvendigt for opfyldelse af kontrakt
nødvendig pga. retlig forpligtelse
nødvendig for at beskytte den registrerede eller en anden persons vitale interesser
samfundets interesse (myndighedsudøvelse)
interesseafvejning. (Kun private)

Hvornår kan der ske behandling på baggrund af et samtykke?

Ved alle datatyper og behandlingsformer, der er omfattet af art. 6 og 9.

Hvad er et samtykke?

En utvetydig viljestilkendegivelse, jf. Art. 4, nr. 11. Følsom oplysning = samtykket skal være udtrykkeligt. Ingen formkrav. Den dataansvarlige skal blot kunne påvise at der foreligger et samtykke. Det er tilbagekaldeligt. Det har kun virkning for fremtiden. Det skal være lige så let at trække det tilbage som at afgive det. Det skal være specifikt, informeret og frivilligt.

Hvad er interesseafvejningsreglen?

En behandlingsbetingelse. Behandling kan ske i den private sektor, når denne er nødvendig og interessen i behandlingen vejer tungere end hensynet til den registreredes grundlæggende interesser, jf. Art. 6, stk. 1, litra f.

Hvornår kan behandling af følsomme oplysninger ske?

Fremgår af undtagelserne i art. 9, stk. 2: Nødvendighedskriteriet fortolkes strengere end ved de almindelig oplysninger. - hvis det er nødvendigt for at beskytte den registrerede eller en anden persons vitale interesser (fx i en ulykke; hvor der skal bruges helbredsoplysninger) - når følsomme oplysninger er blevet offentliggjort af den registrerede - pga en retlig forpligtelse (særligt god for offentlige myndigheder) - af hensyn til vigtige samfundsmæssige interesser, der er fastlagt i EU-ret eller national ret.

Hvem fører tilsyn med domstolene?

Domstolsstyrelsen.

Hvor fremgår det, hvilke kompetencer Datatilsynet har?

I art. 57 og 58. De har også en proaktiv funktion i at have en dialog med dataansvarlige

Er Datatilsynet uafhængigt, når nu det er placeret under Justitsministeriet?

Ja, fordi den funktionelle uafhængighed er sikret. Tilsynets ressourcer er til en vis udstrækning forbundet med den bevillingsmæssige situation i JM.

Hvad laver Datatilsynet?

De kan lave inspektioner, jf. Art. 57(1f) og DBL § 29, stk. 2, hvor sikkerhedsforholdene og andre ting kan vurderes. Behøver ikke varsling i forvejen. Derudover skal de høres, hvis der laves nye retsforskrifter som har databeskyttelsesmæssige implikation, jf. Art. 57(1c) og DBL § 28. Tilsynet bidrager også til det europæiske databeskyttelsesråd, jf. Art. 57(1t) Råder har nemlig beslutningskompetence. Hvis der er sager der er tværgående i andre EU-lande, skal tilsynene samarbejde og et tilsyn skal være det ledende.

Hvordan er datatilsynets opbygning?

Der er et sekretariat og et dataråd. Rådet sidder med de principielle sager og dem der har offentlig interesse.

Hvordan er datarådets sammensætning?

``` 9 medlemmer. 1 formand (nu højesteretsdommer) 1 der repræsenterer den registrerede (f.eks. direktøren fra Forbrugerrådet Tænk) 1 fra forskningsverden 1 med forstand på sundhedssektoren Og nogle almengyldige personer ```

Hvilke reaktionsmuligheder har Datatilsynet?

1. Advarsel. | 2. Nedlægge forbud eller påbud

Hvornår skal en privat virksomhed have en databeskyttelsesrådgiver?

Hvis kerneaktiviteten i virksomheden indebærer regelmæssig og systematisk overvågning af de registrerede eller i stort omfang behandling af følsomme oplysninger.

Hvad sker der hvis nogen i den private sektor overtræder nogle af de grundlæggende principper, samtykkereglen, den registreredes rettigheder, ulovlig overførsel, manglende overholdelse af national regulering eller manglende overholdelse af påbud eller forbud?

Kan få bøde på 20 mio euro eller 4% af verdensomsætningen sidste år. Art. 83.

Hvad sker der hvis nogen i den private sektor overtræder den dataansvarlige eller behandlerens forpligtelser eller certificeringsorganer forpligtelser eller kontrolorganets forpligtelser?

Fx sikkerhedsreglerne. Bøde på max 10 mio. Eller 2% af verdensomsætningen sidste år.

Hvornår kan Datatilsynet udstede bødeforelæg?

DBL § 42. Ved lette og ukomplicerede sager uden bevistvivl og hvor den pågældende vedstår overtrædelsen. Det kan dog først ske når niveauet er fastlagt af domstolene.

Kan den registrerede få erstatning ved brud på loven fra den dataansvarlige?

Der skal søges et civilt søgsmål ved domstolene. Art. 82 = mulighed for erstatning for materiel og immateriel skade. I dansk ret (DBL § 40) har man sagt, at det kun gælder for økonomisk skade. Der må søges godtgørelse efter EAL § 26 (tort) Skal dog være kausalitet mellem den ansvarlige, behandlingen og skaden.