Persondatabeskyttelse Flashcards
Hvilke krav stiller persondataretten til behandlingen af oplysninger?
*
Gælder enhver behandling af oplysninger om fysiske personer.
*
Så snart oplysningen kan henføres til en person.
*
Enhver form for behandling e.g. indsamling, brug, registrering og videregivelse
*
Elektronisk behandling eller indgå i et register.
Hvad gælder i art. 5?
De grundlæggende principper som skal være opfyldt ved alle behandlinger
Lovlighed, rimelighed og gennemsigtighed
Formålsbegrænsning
Dataminimering
Rigtighedhed
Opbevaringsbegrænsninger
Integritet og fortrolighed
Ansvarlighed
Hvad regulerer de følsomme personoplysninger?
Race, politisk, religiøs el. filosofisk over-bevisning, fagforeningsmæssige tilhørsforhold, generiske data, biometriske data mhp. Entydig identifikation, helbredsoplysninger, seksuelle forhold eller orientering
Hvad er de almindelige personoplysninger?
Væsentlige sociale problemer, andre rent private forhold, økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold, adress, eksamen, ansøgning, CV, ansættelsesdato, stilling, arbejdsområde, arbejdstelefon, navn, adresse, fødselsdato, m.v.
Er Cpr-nummer en følsom personoplysning?
Nej, men det er en hemmelig
Ved behandlingen af følsomme personoplysninger hvilke artikler skal så være opfykdt?
Både art. 6 og 9 skal være opfyldt
Hvad er grundlaget for behandling af personoplysninger?
- Behandling skal have specifik hjemmel i et af de behandlingsgrundlag, der er oplistet.
- Sondring mellem følsomme og alm. oplysninger ift. krav om behandlingsgrundlag.
- Følsomme er (jf. Artikel 9): race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold, behandling af genetiske data, biometriske data med formål entydigt at identificere, helbredsoplysninger, seksuelle forhold eller seksuel orientering. (udtømmende)
- Øvrige oplysninger (jf. Artikel 6) er almindelige.
- Særregel (Artikel 10) om straffedomme og lovovertrædelser.
Hvad er behandlingsgrundlagene i art. 6?
- Samtykke
- Opfyldelse af (ansættelses)kontrakt
- Overholdelse af retlig forpligtelse
- Virksomhed
- Virksomhed har ”legitim interesse”, med mindre hensynet til medarbejder går forud (afvejning)
- Nødvendig behandling for at overholde arbejdsretlige forpligtelser eller rettigheder, som fastlagt i anden lovgivning eller kollektive overenskomster
Hvad er så kriterierne for behandling af følsomme personoplysninger efter art. 9?
*
Udtrykkeligt samtykke
*
Offentliggjort af registrerede
*
Nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares.
*
Nødvendigt for at overholde arbejdsretlige forpligtelser eller rettigheder, som fastlagt i anden lovgivning eller kollektive overenskomster
Hvad regulerer databeskyttelseslovens § 12?
”§12. Behandling af personoplysninger i forbindelse med ansættelsesforhold omfattet af artikel 6, stk. 1, og artikel 9, stk. 1, i databeskyttelsesforordningen kan finde sted, hvis behandlingen er nødvendig for at overholde den dataansvarliges eller den registreredes arbejdsretlige forpligtelser eller rettigheder som fastlagt i anden lovgivning eller kollektive overenskomster.
Stk. 2. Behandling af oplysninger som nævnt i stk. 1 må også finde sted, hvis behandlingen er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, som udspringer af anden lovgivning eller kollektive overenskomster, medmindre denregistreredes interesser eller grundlæggende rettigheder og frihedsrettigheder går forud herfor.
Stk. 3. Behandling af personoplysninger i ansættelsesforhold kan finde sted på baggrundaf den registreredes samtykke i overensstemmelse med artikel 7 i databeskyttelsesforordningen.”
Hvordan skal en Nødvendig behandling –arbejdsretlig forpligtelse vurderes?
*
Om der er tale om en arbejdsretlig rettighed eller forpligtelse vurderes efter et arbejdsretliggrundlag.
*
F.eks. Er DA-FH´saftale om kontrolforanstaltninger en arbejdsretlig aftale der skal overholdes og persondata kan behandles på baggrund af.
*
Og OK aftale om oplysninger skal også overholdes. Det er ikke i strid med forordningen, Jf. FV-kendelse af 11. juni 2018.
*
Navn på opsagt, samtidig eller umiddelbart i forbindelse, skulle udleveres efter OK til
*
tillidsrepræsentanten.
*
Dette var ikke i strid med Databeskyttelsesloven. Men indenfor §12, stk. 1.
Er det nok der bare er samtykke eller hvornår foreligger der konkret et gyldigt samtykke?
Reglerne om gyldigt samtykke skal være opfyldt
Hvilke rettigheder har en registreret?
- Retten til oplysning, jf. art. 13 og 14
- Indsigt, jf. art. 15
- Berigtigelse, jf. art. 16
- Ret til at blive glemt, jf. art. 17
- Begrænsning, jf. art. 18
- dataportabilitet, jf. art. 20
- Indsigelse, jf. art. 21
- Automatiske afgørelser, jf. art. 22
Hvilke sanktioner er der for overtrædelse af reglerne?
*
Advarsler, kritik, påbud, ophør af behandling, administrativ bødeeller politianmeldelse.
*
Bøder på op til 20 mio. euro eller op til 4 % af virksomhedens samlede globale omsætning i det foregående regnskabsår.
*
Erstatning (tort) –kræver særligt krænkende omstændigheder.
*
Gabestokken –afgørelser offentliggøres på Datatilsynets hjemmeside.
Hvordan sikres at reglerne overholdes?
Tilsyn fra Datatilsynet
Planlagte tilsyn
*
Datatilsynet offentliggør som udgangspunkt, hvilke emner og hvilke typer dataansvarlige mv., der skal føres tilsyn med.
*
Varsles ofte flere uger forinden tilsynet.
Ad hoc-tilsyn
*
Iværksættes hvis Datatilsynet selv bliver opmærksom på kritiske forhold eller,
*
Hvis Datatilsynets modtager tips fra pressen eller borgere.
Egen anmeldelse af sikkerhedsbrud
*
Som udgangspunkt alle brud, medmindre det er usandsynligt, at bruddet medfører en risiko for personers rettigheder eller frihedsrettigheder.
*
Anmeldelsesfrist på 72 timer.
Kan du forklare Carlsberg-sagen (2019-41-0039)?
Tilsyn med behandling af oplysninger om ansøgere –før ansættelse (rekruttering)
Virksomhed blev udvalgt til skriftligt tilsyn, som fokuserede på virksomhedens opbevaring og sletning af personoplysninger om ansøgere indsamlet i forbindelse med rekruttering.
Fokus var på personoplysninger hos ansøgere, som ikke blev ansat, jf. artikel 5, stk. 1, litra e (opbevaringsbegrænsning).
Tilsynet fandt, at behandlingen var sket i overensstemmelse med reglerne.
Dette på baggrund af,
at virksomheden havde en legitim interesse (diskrimination),
at oplysninger om ansøgere blev opbevaret på baggrund af samtykke, og
at der skete automatisk sletning efter 6 måneder.
Konklusion: Ikke grundlag for at udtale kritik af behandling.
Kan du forklare Krifa-sagen (2019-41-0028)?
*
Planlagt tilsyn hos fagforening fokuserede på fagforeningens efterlevelse af reglerne om behandlingssikkerhed, herunder særligt kryptering af e-mails, jf. artikel 32.
*
Datatilsynet udtalte kritikaf fagforeningens behandlingssikkerhed, henset til:
at fagforeningen anvendte personnummer som password til
læsning af en e-mail,
at fagforeningen havde sendt e-mails ukrypteret, hvoraf der fremgik fagforeningsmæssigt tilhørsforhold, og
at fagforeningen ikke havde anmeldt ovenstående som brud.
Den manglende overholdelse medførte udover kritik også et påbud om at ophøre med at benytte personnummer som password til læsning af e-mails.
Kan du forklare NCC sagen (2019-31-2250)?
En medarbejder blev opsagt og indbragte via sit forbund opsigelsen for Arbejdsretten.
På forbundets foranledning blev sagen bragt i pressen, men uden at medarbejderens navn blev nævnt. Samtidig hermed arrangerede forbundet en demonstration for virksomhedens kontor.
Virksomheden orienterede dagen efter demonstrationen en gruppe ledere om baggrunden for konflikten, herunder medarbejderens og forbundets navn samt om årsagen til opsigelsen.
Medarbejderen klagede til Datatilsynet, idet medarbejderen mente, at e-mailen udgjorde en uberettiget videregivelse af hans personoplysninger.
Medarbejderen klagede tillige over, at virksomheden ikke havde opfyldt sin oplysningspligt, idet ikke alle medarbejdere havde adgang til virksomhedens persondatapolitik på virksomhedens intranet.
Datatilsynet udtalte alvorlig kritik, herunder grundet:
at virksomheden ikke havde en legitim interesse i at orientere om afskedigelsen,
at orienteringen vedrørte en konflikt med et bestemt fagforbund, og
at virksomheden havde behandlet oplysninger om medarbejderen uden hjemmel.
Hvad gælder hvis man indsamler til et legitimt formål og efterfølgende også skal bruge oplysningerne til et andet formål?
Når der er tale om et nyt formål, så skal kravene igen opfyldes. Man kan ikke indhente dem en gang og anvende dem til andre formål end det det oprindeligt blev indhentet for
Forklar Datatilsynetsafgørelserne i Sankt Annæ Gymnasium sagen –Københavns Kommune
I juli og august 2021 klagede klager over, at Københavns Kommune og Bech-Bruun Advokatpartnerselskab behandlede oplysninger om ham i en advokatundersøgelse.
Undersøgelsen blev gennemført af Bech-Bruun på vegne af Københavns Kommune med det formål at afdække, om der havde været udvist krænkende adfærd på uddannelsesinstitutionenSankt Annæ Gymnasium, samt hvordan en sådan adfærd var blevet håndteret.
Det fremgår af sagen, at en række medier, herunder bl.a. Dagbladet Politikken, bragte artikler, somberettede om et ”grænseoverskridende og seksualiseret miljø” i Danmarks Radios pigekor.
Efterfølgende modtog Sankt Annæ Gymnasium henvendelser fra tidligere elever, som berettedeom en lignende kultur i deres tid på Sankt Annæ Gymnasium tilbage i 1980’erne og 1990’erne, somisær angik oplevelser i gymnasiets kor.
Datatilsynet har herudover lagt vægt på, at Københavns Kommunes brev af 30. juni 2021 –sammenholdt med kommunens svar af 23. juli 2021 – gav klager anledning til at tro, atbehandlingen af oplysninger om ham skete ud fra en retlig forpligtelse, jf.databeskyttelsesforordningens artikel 6, stk. 1, litra c og d, og ikke – som gennemgået i pkt. 3.1. – afhensyn til udførelsen af en opgave i samfundets interesse, jf. databeskyttelsesforordningens artikel6, stk. 1, litra e.
Det medførte, at klager – som en følgevirkning af oplysningerne om det uklare retsgrundlag – blevoplyst, at retten til at gøre indsigelse ikke fandt anvendelse, og at klagers ret efterdatabeskyttelsesforordningens artikel 21 derved blev afskåret.
Samlet finder Datatilsynet, at Københavns Kommune ikke i tilstrækkelig grad har iagttagetdatabeskyttelsesforordningens artikel 14, jf. artikel 12, stk. 1, og Datatilsynet finder derfor grundlagfor at udtale
kritik
af Københavns Kommune
Forklar Datatilsynetsafgørelserne i Sankt Annæ Gymnasium sagen –Bech-Bruun
I juli og august 2021 klagede klager over, at Københavns Kommune og Bech-BruunAdvokatpartnerselskab behandlede oplysninger om ham i en advokatundersøgelse.
Undersøgelsen blev gennemført af Bech-Bruun på vegne af Københavns Kommune med detformål at afdække, om der havde været udvist krænkende adfærd på uddannelsesinstitutionenSankt Annæ Gymnasium, samt hvordan en sådan adfærd var blevet håndteret.
Datatilsynet finder endvidere grundlag for at udtale
kritik
af, at Bech-Bruun har undladt at opfyldeoplysningspligten i databeskyttelsesforordningens artikel 14. Endelig finder Datatilsynet, at der er grundlag for at udtale
alvorlig
kritik
af, at Bech-Bruunshåndtering af klagers anmodning om indsigt ikke er sket i overensstemmelse meddatabeskyttelsesforordningens artikel 15, stk. 3.
Forklar Datatilsynetsafgørelse i TV2 / Jes Dorph-Petersen sagen–TV2ogNorrbomVinding
I februar 2021 klagede [klager] til Datatilsynet over, at TV 2 og Norrbom Vinding havde behandletoplysninger om ham i forbindelse med en advokatundersøgelse. Undersøgelsen blev gennemførtaf Norrbom Vinding på vegne af TV 2 med det formål at afdække og undersøge sager om muligekrænkende handlinger.
De centrale punkter i Datatilsynets vurdering af sagen er følgende:
TV 2 forfulgte en legitim interesse ved at iværksætte undersøgelsen, og TV 2’s legitimeinteresse gik forud for de registreredes, herunder klagers, interesser. Der var med andre ordsom udgangspunkt et lovligt grundlag for at indsamle personoplysninger.
Undersøgelsen var imidlertid tilrettelagt på en sådan måde, at der kunne indberettesoplysninger om bl.a. seksuelle forhold, dvs. følsomme oplysninger. Der er et forbud mod atbehandle følsomme oplysninger, hvis man ikke kan identificere en gyldig undtagelse. TV 2 ogNorrbom Vinding havde ikke begrænset indsamlingen af oplysninger på en sådan måde, at dehavde den fornødne sikkerhed for, at de kunne behandle de indsamlede følsommeoplysninger.
Selv om Datatilsynet generelt finder tilrettelæggelsen af undersøgelsen kritisabel, er der - pågrund af klagers daværende tilknytning til TV 2 - ikke tilstrækkeligt grundlag for at kritisere TV2’s og Norrbom Vindings behandling af oplysninger om klagers seksuelle forhold.
TV 2 og Norrbom Vinding har ikke levet op til oplysningspligten, der består i, at man på egetinitiativ skal gøre folk opmærksomme på, at man behandler deres oplysninger - herunderhvorfor man gør det, og hvordan man vil behandle oplysningerne.
På baggrund af disse forhold udtaler Datatilsynet alvorlig kritik af TV 2 og Norrbom Vinding.
Forklar Datatilsynetsafgørelse i Konservativ Folkeparti sagen –Plesner
I september 2021 klagede klager til Datatilsynet over, at det Konservative Folkeparti og PlesnerAdvokatpartnerselskab havde behandlet oplysninger om ham i en advokatundersøgelse.
Undersøgelsen blev gennemført af Plesner Advokatpartnerselskab på vegne af det KonservativeFolkeparti med det formål at afdække forløbet vedrørende flere anklager om påståede seksuellekrænkelser og overgreb, som var fremsat over for klager i dagspressen.
Datatilsynet har i sagen fundet, at det Konservative Folkepartis og Plesner Advokatpartnerselskabsbehandling af oplysninger om klager – heriblandt oplysninger om muligt strafbare forhold ogoplysninger om seksuelle forhold – skete inden for rammerne af databeskyttelsesforordningen ogdatabeskyttelsesloven.
Datatilsynet har imidlertid fundet grundlag for at kritisere, at hverken det Konservative Folkepartieller Plesner Advokatpartnerselskab i tilstrækkelig grad opfyldte den databeskyttelsesretligeoplysningspligt over for klager i forbindelse med advokatundersøgelsens gennemførelse.
Forklar Datatilsynets afgørelse om adgangen til private emails
Datatilsynet har truffet afgørelse i en sag, hvor en virksomhed uberettiget havde tilgået en tidligereansats personlige e-mailkonto og downloadet e-mails som sikring af bevismateriale i en civilretssag om en ansættelsesretlig tvist mellem virksomheden og den tidligere ansatte.
Virksomheden oplyste til Datatilsynet, at den tidligere ansattes personoplysninger var blevetbehandlet som led i virksomhedens legitime interesse. Oplysningerne fra den tidligere ansattesprivate e-mailkonto blev brugt til at retsforfølge klageren i en civilretlig sag og til enpolitianmeldelse
Datatilsynet konkluderer i afgørelsen, at virksomhedens behandling af personoplysninger ikkekunne ske med hjemmel i interesseafvejningsreglen. Tilsynet valgte på den baggrund at udtalealvorlig kritik af virksomhedens behandling af personoplysninger i forbindelse med gennemgang aftidligere ansats private e-mailkonto.
Tilsynet lagde i afgørelsen bl.a. vægt på, at der var tale om en personlig e-mailkonto, og ikke en e-mailkonto som virksomheden havde rådighed over. Datatilsynet bemærkede også, atvirksomhedens undersøgelse var rettet mod den tidligere ansattes arbejdscomputer, og atadgangen til den personlige e-mailkonto blev opdaget ved et tilfælde.
Ligeledes lagde Datatilsynet vægt på, at virksomheden havde fortsat søgningen i den tidligereansattes personlige e-mailkonto, selv efter at virksomheden var blevet klar over, at der var tale omen personlig e-mailkonto.
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale
alvorlig kritik
af,at Virksomhed [A]’s behandling af personoplysninger ikke er sket i overensstemmelse medreglerne i databeskyttelsesforordningens
artikel 6, stk. 1, litra f.
