Kap. 4 - Databeskyttelsesrettens Grundtræk

Question 1

Er der nogle principper som altid skal overholdes?

Hvor står de principper?

Answer 1

Ja, de fremgår af art. 5.

Skal altid respekteres uanset behandlingsform og type af personoplysning og dataansvarlig.

Question 2

Hvad er behandling?

Answer 2

Art. 4, nr. 2.

Enhver aktivitet i forbindelse med personoplysninger

Question 3

Hvilke principper skal altid overholdes?

Answer 3

• god databehandlingsskik
• sagligt formål med indsamlingen
• formålsbestemthedsprincippet
• proportionalitetsprincippet
• datakvalitet
• tidsbegrænsningsprincippet
• sikkerhed mm.
• hjemmel.

Question 4

Beskriv principper om god databehandlingsskik.

Answer 4

Art. 5, stk. 1, litra a.

Personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde.

Eksempel: videregivelse af cpr-nummer til en som ikke må behandle disse.

Question 5

Beskriv princippet med det saglige formål?

Answer 5

Art. 5, stk. 1, litra b.

Indsamling skal ske til udtrykkeligt angivne og legitime formål.

Borgeren skal vide hvorfor oplysningerne indsamles.
Formålet skal være eksplicit formuleret.

Der skal være en sammenhæng med hvad den ansvarlige normalt indsamler og brugen og karakteren af oplysningerne.

Question 6

Hvad er formålsbestemthedsprincippet?

Answer 6

Art. 5, stk. 1, litra b og DBL § 5

Der skal være åbenhed og kontrol med de indsamlede oplysninger.

Indsamlingsformålet skal være styrende for senere behandling.
Behandling må ikke ske, hvis det er uforeneligt med formålet = negativt princip (der må ikke være uforenelighed).

Det kan fraviges af offentlige myndigheder i dansk ret, hvis der er bekendtgørelse

Er det muligt for borgeren at forudberegne den efterfølgende dataanvendelse?

Question 7

Hvad er proportionalitetsprincippet?

Answer 7

Art. 5, stk. 1, litra c.

De indsamlede oplysninger skal være relevante og tilstrækkelige.

Oplysningerne skal være brugbare i forhold til formålet og kun person som har et klart behov for at kende oplysningerne må få adgang til dem.

Dataminimeringsprincippet - f.eks. Ved brug af anonymisering eller pseudonymisering

Question 8

Hvad er princippet om datakvalitet?

Answer 8

Art. 5, stk. 1, litra d.

Dataansvarlig skal sikre, at der kun behandles rigtige og ikke vildledende oplysninger.

Korrektion, blokering, sletning.

Offentlige forvaltning = journaliserings-, notat- og arkiveringspligt.

Question 9

Hvad er tidsbegrænsningsprincippet?

Answer 9

Art. 5, stk. 1, litra e.

Identificerbare oplysninger må ikke opbevares længere end det er nødvendigt for at gennemføre den behandling, som er formålet.

Vejledende UP for opbevaringsfrist (Datatilsynet) = 5 år

Man kan dog godt arkivere oplysningerne, fremfor at slette (rigsarkivet) - særligt den offentlige forvaltning.

Question 10

Hvad er princippet om sikkerhed?

Answer 10

Art. 5, stk. 1, litra f.

Den ansvarlige er forpligtet til at sikre, at kun autoriserede personer får adgang til oplysninger mhp. autoriserede formål.

Der skal være en sikkerhedspolitik.

Art. 25 = databeskyttelse gennem design og standardindstillinger.

Der skal være

1. Fysisk sikkerhed (servere er placeret forsvarligt)
2. Systemteknisk sikkerhed (ikke muligt at trænge ind i it-systemerne, firewalls. I den offentlige sektor = kryptering, stærk og generel kryptering)
3. Organisatorisk sikkerhed (personale skal vide hvordan oplysninger sikres og arbejde med fortrolighed - logning af ansattes brug af persondata)

Question 11

Hvad skal den dataansvarlige gøre ved sikkerhedsbrud?

Answer 11

Meddele dette til Datatilsynet indenfor 72 timer efter at bruddet er konstateret (art. 33)

Hvis høj risiko for integritetskrænkelser skal den registrerede også meddeles (art. 34).

Når høj risiko for den registrerede skal den ansvarlige gennemføre en konsekvensanalyse (art. 35). Hvis behandlingen stadig ønskes gennemført, så skal den forelægges Datatilsynet (art. 36).

Question 12

Hvad er princippet om hjemmel?

Answer 12

Er ikke specifikt nævnt i forordningen.

UP: der skal være et objektivt lovbestemt grundlag for persondatabehandling.

Question 13

Hvad er princippet om ansvarlighed?

Answer 13

Art. 5, stk. 2.

Den dataansvarlige har ansvaret for at forordningen bliver overholdt.

Question 14

Hvad er udgangspunktet for følsomme oplysninger?

Answer 14

Oplysninger, som indeholder information om en persons egentlige private liv, eller hvis misbrug har stor betydning for personens integritet.

Denne oplysning bør kun i begrænset omfang være tilgængelig for andre.

Har et vist holdepunkt i EMRK og EU-chartret.

Question 15

Hvilke oplysninger er følsomme?

Answer 15

Art. 9, stk. 1:

• race eller etnisk oprindelse
• politisk, religiøs eller filosofisk overbevisning
• fagforeningsmæssige tilhørsforhold
• behandling af genetiske data, biometriske data med formålet at identificere en fysisk person
• helbredsoplysninger
• seksuelle forhold eller seksuel orientering.

UP: de oplysninger må ikke behandles.

Question 16

Hvad er biometriske data?

Answer 16

Fingeraftryk, kropsvarme, gangmåde.

Hvis de ikke bruges til identifikation, så er det blot en almindelig oplysning.

Question 17

Hvorfor har man lavet en opdeling mellem følsomme og almindelige personoplysninger?

Answer 17

Fordi hvis man ikke lavede en opdeling, så ville man risikere at reglerne blev al for strenge og så vil persondataretten miste sin gennemslagskraft og være virkelighedsfjern.

Question 18

Er strafbare forhold en følsom oplysning?

Answer 18

Den er ikke på listen i art. 9, stk. 1, men fremgår af art. 10, som henviser til de almindelige oplysninger.

DBL § 8 omhandler til gengæld strafbare forhold.

Private må behandle disse oplysninger, hvis samtykke eller det er nødvendigt til varetagelse af en berettiget interesse.

For en offentlig myndighed skal det være nødvendigt for myndighedsudøvelsen.

Question 19

Er skatteoplysninger og cpr-nummer følsomt?

Answer 19

Skatteoplysninger = ikke følsomt, men fortroligt i DK = tavshedspligt

Cpr-nummer = i den offentlige sektor i DK er det en almindelig fortrolig oplysning. I den private sektor er det en følsom oplysning.

Fremgår også af art. 87 at identifikationsnumre må staterne selv regulere.
I DK har vi DBL § 11.

Question 20

Hvad er en almindelig personoplysning?

Answer 20

Art. 6

Alt andet end hvad der fremgår af art. 9 og 10 eller oplysninger som er særreguleret.

Question 21

Hvad er en personoplysning?

Answer 21

Art. 4, nr. 1.

Information om en identificeret eller identificerbar fysisk person.

Fx er krypterede oplysninger omfattet, hvis nogen har adgang til krypteringsnøglen.

Ip-adresse og registreringsnummer.

Billede, stemme og fingeraftryk er omfattet

Question 22

Hvad er behandlingsbegrebet?

Answer 22

Art. 4, nr. 2.

Under hvilke betingelser alle former for behandling må fonde sted i relation til den pågældende oplysningskategori.

Behandlingen skal være i overensstemmelse med mindst én af behandlingsbetingelser

Question 23

Hvilke behandlingsbetingelser findes der?

Answer 23

• Samtykke (både for følsomme og almindelige personoplysninger)
• nødvendigt for opfyldelse af kontrakt
• nødvendig pga. retlig forpligtelse
• nødvendig for at beskytte den registrerede eller en anden persons vitale interesser
• samfundets interesse (myndighedsudøvelse)
• interesseafvejning. (Kun private)

Question 24

Hvornår kan der ske behandling på baggrund af et samtykke?

Answer 24

Ved alle datatyper og behandlingsformer, der er omfattet af art. 6 og 9.

Question 25

Hvad er et samtykke?

Answer 25

En utvetydig viljestilkendegivelse, jf. Art. 4, nr. 11.

Følsom oplysning = samtykket skal være udtrykkeligt.

Ingen formkrav. Den dataansvarlige skal blot kunne påvise at der foreligger et samtykke.

Det er tilbagekaldeligt. Det har kun virkning for fremtiden.

Det skal være lige så let at trække det tilbage som at afgive det.

Det skal være specifikt, informeret og frivilligt.

Question 26

Hvad er interesseafvejningsreglen?

Answer 26

En behandlingsbetingelse.
Behandling kan ske i den private sektor, når denne er nødvendig og interessen i behandlingen vejer tungere end hensynet til den registreredes grundlæggende interesser, jf. Art. 6, stk. 1, litra f.

Question 27

Hvornår kan behandling af følsomme oplysninger ske?

Answer 27

Fremgår af undtagelserne i art. 9, stk. 2:

Nødvendighedskriteriet fortolkes strengere end ved de almindelig oplysninger.

• hvis det er nødvendigt for at beskytte den registrerede eller en anden persons vitale interesser (fx i en ulykke; hvor der skal bruges helbredsoplysninger)
• når følsomme oplysninger er blevet offentliggjort af den registrerede
• pga en retlig forpligtelse (særligt god for offentlige myndigheder)
• af hensyn til vigtige samfundsmæssige interesser, der er fastlagt i EU-ret eller national ret.

Question 28

Hvem fører tilsyn med domstolene?

Answer 28

Domstolsstyrelsen.

Question 29

Hvor fremgår det, hvilke kompetencer Datatilsynet har?

Answer 29

I art. 57 og 58.

De har også en proaktiv funktion i at have en dialog med dataansvarlige

Question 30

Er Datatilsynet uafhængigt, når nu det er placeret under Justitsministeriet?

Answer 30

Ja, fordi den funktionelle uafhængighed er sikret.

Tilsynets ressourcer er til en vis udstrækning forbundet med den bevillingsmæssige situation i JM.

Question 31

Hvad laver Datatilsynet?

Answer 31

De kan lave inspektioner, jf. Art. 57(1f) og DBL § 29, stk. 2, hvor sikkerhedsforholdene og andre ting kan vurderes. Behøver ikke varsling i forvejen.

Derudover skal de høres, hvis der laves nye retsforskrifter som har databeskyttelsesmæssige implikation, jf. Art. 57(1c) og DBL § 28.

Tilsynet bidrager også til det europæiske databeskyttelsesråd, jf. Art. 57(1t) Råder har nemlig beslutningskompetence.
Hvis der er sager der er tværgående i andre EU-lande, skal tilsynene samarbejde og et tilsyn skal være det ledende.

Question 32

Hvordan er datatilsynets opbygning?

Answer 32

Der er et sekretariat og et dataråd.

Rådet sidder med de principielle sager og dem der har offentlig interesse.

Question 33

Hvordan er datarådets sammensætning?

Answer 33

9 medlemmer.
1 formand (nu højesteretsdommer)
1 der repræsenterer den registrerede (f.eks. direktøren fra Forbrugerrådet Tænk)
1 fra forskningsverden
1 med forstand på sundhedssektoren
Og nogle almengyldige personer

Question 34

Hvilke reaktionsmuligheder har Datatilsynet?

Answer 34

1. Advarsel.

2. Nedlægge forbud eller påbud

Question 35

Hvornår skal en privat virksomhed have en databeskyttelsesrådgiver?

Answer 35

Hvis kerneaktiviteten i virksomheden indebærer regelmæssig og systematisk overvågning af de registrerede eller i stort omfang behandling af følsomme oplysninger.

Question 36

Hvad sker der hvis nogen i den private sektor overtræder nogle af de grundlæggende principper, samtykkereglen, den registreredes rettigheder, ulovlig overførsel, manglende overholdelse af national regulering eller manglende overholdelse af påbud eller forbud?

Answer 36

Kan få bøde på 20 mio euro eller 4% af verdensomsætningen sidste år.

Art. 83.

Question 37

Hvad sker der hvis nogen i den private sektor overtræder den dataansvarlige eller behandlerens forpligtelser eller certificeringsorganer forpligtelser eller kontrolorganets forpligtelser?

Answer 37

Fx sikkerhedsreglerne.

Bøde på max 10 mio. Eller 2% af verdensomsætningen sidste år.

Question 38

Hvornår kan Datatilsynet udstede bødeforelæg?

Answer 38

DBL § 42.

Ved lette og ukomplicerede sager uden bevistvivl og hvor den pågældende vedstår overtrædelsen.

Det kan dog først ske når niveauet er fastlagt af domstolene.

Question 39

Kan den registrerede få erstatning ved brud på loven fra den dataansvarlige?

Answer 39

Der skal søges et civilt søgsmål ved domstolene.

Art. 82 = mulighed for erstatning for materiel og immateriel skade.

I dansk ret (DBL § 40) har man sagt, at det kun gælder for økonomisk skade.
Der må søges godtgørelse efter EAL § 26 (tort)

Skal dog være kausalitet mellem den ansvarlige, behandlingen og skaden.