Brainscape's Knowledge GenomeTM

Browse over 1 million classes created by top students, professors, publishers, and experts.


See full index

Persondataret (Peter Blume) > Kapitel 4 - Databeskyttelsens grundtræk > Flashcards

Kapitel 4 - Databeskyttelsens grundtræk Flashcards

1
Q

Er der nogle principper som altid skal overholdes?

Hvor står de principper?

A

Bestemmelsen i art. 5, indeholder i stk. 1, litra a – f en række grundlæggende principper for behandlingen af personoplysninger.

I forordningens art. 6-9 fastlægges det, hvornår personoplysninger må behandles. I art. 5 fremgår det, HVORDAN behandlingen skal ske og hvilke principper der altid skal respekteres uanset behandlingsform og type af personoplysning og dataansvarlig.

Art. 5, stk. 1, litra a: God skik.
Oplysningerne skal behandles:
- Lovligt: Både ift. forordningen og øvrig national og EU-lovgivning.
- Rimeligt: I overensstemmelse med forordningens ånd.
- Gennemsigtigt: Det skal være muligt for den registrerede at overskue behandlingen.

Art. 5, stk. 1, litra b: Formålsbegrænsning.

  • Indebærer at DA ifm. indsamling af oplysninger skal gøre sig klart, hvad formålet med indsamlingen er.
  • En senere behandling må ikke være uforeneligt med formålet.

Art. 5, stk. 1, litra c: Dataminimering

  • Personoplysninger skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt ift. formålet.
  • Undgå unødig dataophobning.

Art. 5, stk. 1, litra d: Rigtighed.

  • Oplysninger skal være korrekte og ajourførte.
  • Der skal tages rimeligt skridt for at sikre, at personoplysninger, der er urigtige ift. de formål, hvortil de behandles, straks slettes eller berigtiges.
  • Beskyttelse af personlighedshensynet: R har krav på, at der bliver præsenteret et retvisende billede af den pågældendes personlighed.

Art. 5, stk. 1, litra e: Opbevaringsbegrænsning.
- Ikke opbevaring længere end nødvendigt af hensyn til det oprindelige behandlingsformål (undgå dataophobning).

Art. 5, stk. 1, litra f: Sikkerhed
- Oplysninger skal behandles sikkert = Der skal tages de nødvendige foranstaltninger.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Hvad er behandling?

A

Art. 4, nr. 2.

Enhver aktivitet i forbindelse med personoplysninger. Behandlingsbegrebet er åbent så der sikres, at reguleringen ikke kan omgås.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Hvilke principper skal altid overholdes?

A
  • god databehandlingsskik
  • sagligt formål med indsamlingen
  • formålsbestemthedsprincippet
  • proportionalitetsprincippet
  • datakvalitet
  • tidsbegrænsningsprincippet
  • sikkerhed mm.
  • hjemmel.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Beskriv principper om god databehandlingsskik?

A

Art. 5, stk. 1, litra a.

Generalklausul: Personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde.

Eksempel: videregivelse af cpr-nummer til en som ikke må behandle disse er ikke god skik.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Beskriv princippet med det saglige formål?

A

Art. 5, stk. 1, litra b.

Indsamling skal ske til udtrykkeligt angivne og legitime formål.

Borgeren skal vide hvorfor oplysningerne indsamles.
Formålet skal være eksplicit formuleret.

Der skal være en sammenhæng med hvad den ansvarlige normalt indsamler og brugen og karakteren af oplysningerne.

Saglighed er et mere specifikt vuderingskriterium ifht den konkrete behandlingssituation end god skik, som har en mere general karakter.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Hvad er formålsbestemthedsprincippet?

A

Art. 5, stk. 1, litra b og DBL § 5

Der skal være åbenhed og kontrol med de indsamlede oplysninger.

Indsamlingsformålet skal være styrende for senere behandling. Behandling må ikke ske, hvis det er uforeneligt med formålet = negativt princip (der må ikke være uforenelighed).

Er det muligt for borgeren at forudberegne den efterfølgende dataanvendelse? Fx samkøring kan volde problemer.

Undtagelse § 5, stk. 3 => offentlige sektor kan behandle oplysninger med nyt formål, hvis der er hjemmel hertil i bkg.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Hvad er proportionalitetsprincippet?

A

Art. 5, stk. 1, litra c.

De indsamlede oplysninger skal være relevante og tilstrækkelige.

Oplysningerne skal være brugbare i forhold til formålet og kun person som har et klart behov for at kende oplysningerne må få adgang til dem.

Dataminimeringsprincippet - f.eks. Ved brug af anonymisering eller pseudonymisering

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Hvad er princippet om datakvalitet?

A

Art. 5, stk. 1, litra d.

Dataansvarlig skal sikre, at der kun behandles rigtige og ikke vildledende oplysninger.

Korrektion, blokering, sletning.

Offentlige forvaltning = journaliserings-, notat- og arkiveringspligt.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Hvad er tidsbegrænsningsprincippet?

A

Art. 5, stk. 1, litra e.

Identificerbare oplysninger må ikke opbevares længere end det er nødvendigt for at gennemføre den behandling, som er formålet.

Vejledende UP for opbevaringsfrist (Datatilsynet) = 5 år

Man kan dog godt arkivere oplysningerne, fremfor at slette (rigsarkivet) - særligt den offentlige forvaltning.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Hvad er princippet om sikkerhed?

A

Art. 5, stk. 1, litra f.

Den ansvarlige er forpligtet til at sikre, at kun autoriserede personer får adgang til oplysninger mhp. autoriserede formål.

Der skal være en sikkerhedspolitik.

Art. 25 = databeskyttelse gennem design og standardindstillinger.

Der skal være

  1. Fysisk sikkerhed (servere er placeret forsvarligt)
  2. Systemteknisk sikkerhed (ikke muligt at trænge ind i it-systemerne, firewalls. I den offentlige sektor = kryptering, stærk og generel kryptering)
  3. Organisatorisk sikkerhed (personale skal vide hvordan oplysninger sikres og arbejde med fortrolighed - logning af ansattes brug af persondata)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Hvad skal den dataansvarlige gøre ved sikkerhedsbrud?

A

Meddele dette til Datatilsynet indenfor 72 timer efter at bruddet er konstateret (art. 33)

Hvis høj risiko for integritetskrænkelser skal den registrerede også meddeles (art. 34).

Når høj risiko for den registrerede skal den ansvarlige gennemføre en konsekvensanalyse (art. 35). Hvis behandlingen stadig ønskes gennemført, så skal den forelægges Datatilsynet (art. 36).

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Hvad er princippet om hjemmel?

A

Er ikke specifikt nævnt i forordningen, men følger generelt af den.

UP: der skal være et objektivt lovbestemt grundlag for persondatabehandling. Dette behøver dog ikke være præcist udformet.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Hvad er princippet om ansvarlighed?

A

Art. 5, stk. 2.

Den dataansvarlige har ansvaret for at forordningen bliver overholdt.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Hvad er udgangspunktet for følsomme oplysninger?

A

Oplysninger, som indeholder information om en persons egentlige private liv, eller hvis misbrug har stor betydning for personens integritet.

Denne oplysning bør kun i begrænset omfang være tilgængelig for andre.

Har et vist holdepunkt i EMRK og EU-chartret.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Hvilke oplysninger er følsomme?

A

Art. 9, stk. 1:

  • race eller etnisk oprindelse
  • politisk, religiøs eller filosofisk overbevisning
  • fagforeningsmæssige tilhørsforhold
  • behandling af genetiske data, biometriske data med formålet at identificere en fysisk person
  • helbredsoplysninger
  • seksuelle forhold eller seksuel orientering.

UP: de oplysninger må ikke behandles.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Hvad er biometriske data?

A

Fingeraftryk, kropsvarme, gangmåde.

Hvis de ikke bruges til identifikation, så er det blot en almindelig oplysning.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
17
Q

Hvorfor har man lavet en opdeling mellem følsomme og almindelige personoplysninger?

A

Fordi hvis man ikke lavede en opdeling, så ville man risikere at reglerne blev al for strenge og så vil persondataretten miste sin gennemslagskraft og være virkelighedsfjern.

18
Q

Er strafbare forhold en følsom oplysning?

A

Den er ikke på listen i art. 9, stk. 1, men fremgår af art. 10, som henviser til de almindelige oplysninger.

DBL § 8 omhandler til gengæld strafbare forhold.

Private må behandle disse oplysninger, hvis samtykke eller det er nødvendigt til varetagelse af en berettiget interesse.

For en offentlig myndighed skal det være nødvendigt for myndighedsudøvelsen.

19
Q

Er skatteoplysninger og cpr-nummer følsomt?

A

Skatteoplysninger = ikke følsomt, men fortroligt i DK = tavshedspligt

Cpr-nummer = i den offentlige sektor i DK er det en almindelig fortrolig oplysning. I den private sektor er det en følsom oplysning.

Fremgår også af art. 87 at identifikationsnumre må staterne selv regulere.
I DK har vi DBL § 11.

20
Q

Hvad er en almindelig personoplysning?

A

Art. 6

Alt andet end hvad der fremgår af art. 9 og 10 eller oplysninger som er særreguleret.

21
Q

Hvad er en personoplysning?

A

Art. 4, nr. 1.

Information om en identificeret eller identificerbar fysisk person.

Fx er krypterede oplysninger omfattet, hvis nogen har adgang til krypteringsnøglen.

Ip-adresse og registreringsnummer.

Billede, stemme og fingeraftryk er omfattet

22
Q

Hvad er behandlingsbegrebet?

A

Art. 4, nr. 2.

Under hvilke betingelser alle former for behandling må finde sted i relation til den pågældende oplysningskategori.

Behandlingen skal være i overensstemmelse med mindst én af behandlingsbetingelser

23
Q

Hvilke behandlingsbetingelser findes der?

A
  • Samtykke (både for følsomme og almindelige personoplysninger)
  • nødvendigt for opfyldelse af kontrakt
  • nødvendig pga. retlig forpligtelse
  • nødvendig for at beskytte den registrerede eller en anden persons vitale interesser
  • samfundets interesse (myndighedsudøvelse)
  • interesseafvejning. (Kun private)
24
Q

Hvornår kan der ske behandling på baggrund af et samtykke?

A

Ved alle datatyper og behandlingsformer, der er omfattet af art. 6 og 9.

25
Q

Hvad er et samtykke?

A

Defintion: En utvetydig viljestilkendegivelse, jf. Art. 4, nr. 11. Det skal være specifikt, informeret, frivilligt og utvetydigt.

Forskel: Følsom oplysning = samtykket skal være udtrykkeligt.

Ingen formkrav. Den dataansvarlige skal blot kunne påvise at der foreligger et samtykke.

Det er tilbagekaldeligt. Det har kun virkning for fremtiden. Det skal være lige så let at trække det tilbage som at afgive det.

26
Q

Hvad er interesseafvejningsreglen?

A

En behandlingsbetingelse.
Behandling kan ske i den private sektor, når denne er nødvendig og interessen i behandlingen vejer tungere end hensynet til den registreredes grundlæggende interesser, jf. Art. 6, stk. 1, litra f.

27
Q

Hvornår kan behandling af følsomme oplysninger ske?

A

Fremgår af undtagelserne i art. 9, stk. 2:

Nødvendighedskriteriet fortolkes strengere end ved de almindelig oplysninger.

  • hvis det er nødvendigt for at beskytte den registrerede eller en anden persons vitale interesser (fx i en ulykke; hvor der skal bruges helbredsoplysninger)
  • når følsomme oplysninger er blevet offentliggjort af den registrerede
  • pga en retlig forpligtelse (særligt god for offentlige myndigheder)
  • af hensyn til vigtige samfundsmæssige interesser, der er fastlagt i EU-ret eller national ret.
28
Q

Hvem fører tilsyn med domstolene?

A

Domstolsstyrelsen.

29
Q

Hvor fremgår det, hvilke kompetencer Datatilsynet har?

A

I art. 57 og 58.

De har også en proaktiv funktion i at have en dialog med dataansvarlige

30
Q

Er Datatilsynet uafhængigt, når nu det er placeret under Justitsministeriet?

A

Ja, fordi den funktionelle uafhængighed er sikret.

Tilsynets ressourcer er til en vis udstrækning forbundet med den bevillingsmæssige situation i JM.

31
Q

Hvad laver Datatilsynet?

A

De kan lave inspektioner, jf. Art. 57(1f) og DBL § 29, stk. 2, hvor sikkerhedsforholdene og andre ting kan vurderes. Behøver ikke varsling i forvejen.

Derudover skal de høres, hvis der laves nye retsforskrifter som har databeskyttelsesmæssige implikation, jf. Art. 57(1c) og DBL § 28.

Tilsynet bidrager også til det europæiske databeskyttelsesråd, jf. Art. 57(1t) Råder har nemlig beslutningskompetence.
Hvis der er sager der er tværgående i andre EU-lande, skal tilsynene samarbejde og et tilsyn skal være det ledende.

32
Q

Hvordan er datatilsynets opbygning?

A

Der er et sekretariat og et dataråd.

Rådet sidder med de principielle sager og dem der har offentlig interesse.

33
Q

Hvordan er datarådets sammensætning?

A 
9 medlemmer.
1 formand (nu højesteretsdommer)
1 der repræsenterer den registrerede (f.eks. direktøren fra Forbrugerrådet Tænk)
1 fra forskningsverden
1 med forstand på sundhedssektoren
Og nogle almengyldige personer
34
Q

Hvilke reaktionsmuligheder har Datatilsynet?

A
  1. Advarsel.

2. Nedlægge forbud eller påbud

35
Q

Hvornår skal en privat virksomhed have en databeskyttelsesrådgiver?

A

Hvis kerneaktiviteten i virksomheden indebærer regelmæssig og systematisk overvågning af de registrerede eller i stort omfang behandling af følsomme oplysninger.

36
Q

Hvad sker der hvis nogen i den private sektor overtræder nogle af de grundlæggende principper, samtykkereglen, den registreredes rettigheder, ulovlig overførsel, manglende overholdelse af national regulering eller manglende overholdelse af påbud eller forbud?

A

Kan få bøde på 20 mio euro eller 4% af verdensomsætningen sidste år.

Art. 83, stk. 5

37
Q

Hvad sker der hvis nogen i den private sektor overtræder den dataansvarlige eller behandlerens forpligtelser eller certificeringsorganer forpligtelser eller kontrolorganets forpligtelser?

A

Fx sikkerhedsreglerne.

Bøde på max 10 mio. Eller 2% af verdensomsætningen sidste år.

art. 83, stk. 4

38
Q

Hvornår kan Datatilsynet udstede bødeforelæg?

A

DBL § 42.

Ved lette og ukomplicerede sager uden bevistvivl og hvor den pågældende vedstår overtrædelsen.

Det kan dog først ske når niveauet er fastlagt af domstolene.

39
Q

Kan den registrerede få erstatning ved brud på loven fra den dataansvarlige?

A

Der skal søges et civilt søgsmål ved domstolene.

Art. 82 = mulighed for erstatning for materiel og immateriel skade.

I dansk ret (DBL § 40) har man sagt, at det kun gælder for økonomisk skade.
Der må søges godtgørelse efter EAL § 26 (tort)

Skal dog være kausalitet mellem den ansvarlige, behandlingen og skaden.

40
Q

Hvad er en databeskyttelsesrådgiver?

A

art. 37-39

Alle offentlige DA’er skal have en DR. I den private sektor skal der være en rådgiver, når kerneaktiviteten indebærer regelmæssig og systematisk overvågning af de registrerede eller i stort omfang behandling af følsomme oplysninger (art. 9+10)

DR er ekspert i persondataret og skal sikre at GDPR bliver overholdt, kan ikke afskediges som følge af udførelsen af opgaverne, har ikke selvstændigt ansvar. DR samarbejder med Datatilsynet.

Persondataret (Peter Blume) (11 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2024 Bold Learning Solutions. Terms and Conditions