Persondataret - GDPR Forordningen

Question 1

Hvad er en fysisk person?

Answer 1

ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet”

Question 2

Hvad er personoplysninger?

Answer 2

«:enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«);

IKKE ET SELSKAB

Question 3

Hvad gælder “Behandling?

Answer 3

Enhver ting man kan gøre med en personoplysning. Indsamling, sletning, videresendelse, analyse osv.

Question 4

Hvad er bøden for at bryde GDPR?

Answer 4

højest €20m eller 4% af virksomhedens årlige omsætning → Og det er den højeste af disse. Omsætning på 100.000 om året kan godt få en bøde på €20m året (sat på spidsen)

Question 5

Hvad vil det sige at GDPR er “risikodrevet?”

Answer 5

→ I stedet for at have regler for, hvordan man skal behandle dataen, så laver man en risikovurdering. ”Hvad er det for nogle oplysninger, vi har?”, ”Vi behandler kun offentlige tilgængelige data, som navn og adresse, som allerede findes på nettet”. Når man har vurderet risikoen, skal man finde ud af, hvad man vil gøre for at forhindre det, og hvad det koster. Det er op til den enkelte dataansvarlige, at finde ud af, hvor meget de vil gøre.

Question 6

Hvad betyder det at GDPR er “totalharmoniseret?

Answer 6

samme krav overalt i EU. Ikke baseret på landegrænser. → Lavet for at forhindre konkurrencefordele.

Question 7

Hvad er “Profilering?

Answer 7

Profilering ud fra data. Helbred, økonomi osv.

Question 8

hvad er “Pseudonymisering “

Answer 8

Fjern linket mellem oplysningerne og personen. IP-adressen kan aldrig føres tilbage til en person, og så kan vi godt behandle den data. → ikke lænegere personoplysninger

Question 9

Hvilke undtagelser er der for behandling af data?

Answer 9

o Ytringsfrihed
o Private handlinger → Adressebog
o Journalistisk aktivitet

Question 10

Hvilke parter indebærer GDPR?

Answer 10

o Den registrerede → Den, oplysninger omhandler.
o Den dataansvarlige → Den ansvarlige, på hvis vegne dataene behandles.
o Databehandler → Behandler data på vegne af en dataansvarlig.
 Instruks, skriftlig aftale fra dataansvarlig. Formkrav. Den skal være på skrift!
 Kan også have en underdatabehandler (og ovenstående regler gentager sig. Samme struktur som PA-teori fra økonomi)
o Modtager → En man vidergiver data til. Facebook sender data videre til en virksomhed, som vil reklamere for et bestemt produkt.

Question 11

Hvilke kategorier af data findes der?

Answer 11

o Almindelige persondata → Navn og adresse
o Følsomme oplysninger → Helbred og straffeattest
o Semifølsomme oplysninger → CPR-nummer.
o Genetiske data → Genetik. (helbred)
o Biometriske data → Fingeraftryk, iris, ansigtsgenkendelse
o Helbredsoplysninger

Question 12

Hvad er god databehandelingsskik? (Artikel 5)

Answer 12

o Lovlighed, rimelighed og gennemsigtighed → Hvor lang tid er det rimeligt, at jeg beholder den her data. Hvor længe er dataen relevant for eksempelvis et skokøb på nettet?

o Formål -
Må kun behandles til de konkrete formål bruger har sagt ja til, ikke til andre.

o Proportionalitet
-Beskyttelsen af personoplysninger skal afbalanceres med andre rettigheder og friheder som tankefrihed og ytringsfrihed

o Tidsmæssig udstrækning.

Question 13

Hvad gælder i forhold til samtykke? (Artikel 7)

Answer 13

• Samtykke i skriftlig form, skal være adskilt fra andre forhold i et
lettilgængeligt og klart sprog
o Midten af TOS går ikke. Det skal stå selvstændigt i lettilgængeligt og klart sprog.

o Samtykke skal kunne trækkes tilbage lige så let, som det er givet.

o Dataansvarlige skal kunne påvise at samtykket er givet.

o Ved vurderingen af om et samtykke er afgivet ”frit” lægges vægt op om personoplysningerne er nødvendige.

o Samtykket propagerer, så hvis der er nogen der sender din data videre til en yderligere 3. part, så er det den første 3. part der har ansvaret for at dem, som de har videregivet dataene til, får den slettet.

Question 14

Hvilke krav er der til behandling?

Answer 14

o Organisatoriske foranstaltninger → Der skal træffes nogle valg inden for organisationen, der sikrer, at det kun er de personer, som har brug for adgang til dataen, der har adgang (ikke nyt).
o Det samme gælder for tekniske foranstaltninger.

Question 15

Hvad er betingelserne for behandling af personoplysninger?

Answer 15

PDL §6 /GDPR artikel 6

• Samtykke (det absolutte udgangspunkt)
• Opfyldelse af aftale med den registrerede
• Retlig forpligtelse for dataansvarlige
• Varetagelse af den registreredes vitale interesser
• Samfundets interesse
• Offentlig myndighedsudøvelse
• Berettiget interesse (afvejning)

Question 16

Hvordan skal semi-følsomme oplysninger behandles?

Answer 16

• Der skal være samtykke

• Varetage berettiget interesse – klart overstiger hensynet til den registrerede

Question 17

Hvilken ret til indsigt /indsige og at blive glemt findes der?

Answer 17

• Indsigt – GDPR artikel 15
-I om ens data behandles, hvad der behandles, hvorfor osv. Samt adgang til de data de har om dig.

• Berigtigelse – GDPR artikel 16
-Ret til at få urigtige oplysninger rettet

• Ret til at blive ”glemt” – GDPR artikel 17 – (NB! Gælder allerede Google-dommen)

• Indsigelse - GDPR artikel 21
-ret til at gør indisgelse (sige de skal stoppe >:() mod behandling af data vedrørende den registrerede. Herunder profilering

Question 18

Overførsel til tredjeland

Answer 18

• Overførsel til tredjelande
• Betydning af overførsel inden for ctr. uden for EU • Cloud-løsninger = tredjelande?
• US Privacy Shield
• Off-shore/near-shore
• ”Behandling”

Question 19

Hvilke krav er der til data portabilitet?

Answer 19

• ”Den registrerede har ret til i et struktureret, almindeligt anvendt og maskinlæsbart format at modtage personoplysninger om sig selv, som vedkommende har givet til en dataansvarlig, og har ret til at transmittere disse oplysninger til en anden dataansvarlig uden hindring fra den dataansvarlige, som personoplysningerne er blevet givet til, når: behandlingen er baseret på samtykke, eller ´ på en kontrakt og behandlingen foretages automatisk. ”

TL:DR - Du har ret til at se dit data i læsbart format og give det videre til andre. Betingelser: Samtykke / kontrakt + det er data der er automatisk behandlet.

Question 20

Hvordan anmelder man brud af datasikkerhed?

Answer 20

GDPR Artikel 33

” Ved brud på persondatasikkerheden anmelder den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, bruddet på persondatasikkerheden til den tilsynsmyndighed, som er kompetent i overensstemmelse med artikel 55, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. Foretages anmeldelsen til tilsynsmyndigheden ikke inden for 72 timer, ledsages den af en begrundelse for forsinkelsen.”

TL:DR - Ved brud på datasikkerhed, anmeld senest 72 timer efter.

Question 21

Hvad er reglerne vedrørende databeskyttelsesrådgiver?

Answer 21

” Den dataansvarlige og databehandleren udpeger altid en databeskyttelsesrådgiver, når: a) behandling foretages af en offentlig myndighed eller et offentligt organ, undtagen domstole, der handler i deres egenskab af domstol b) den dataansvarliges eller databehandlerens kerneaktiviteter består af behandlingsaktiviteter, der i medfør af deres karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede i stort omfang, eller c) den dataansvarliges eller databehandlerens kerneaktiviteter består af behandling i stort omfang af særlige kategorier af oplysninger, jf. artikel 9, og personoplysninger vedrørende straffedomme og lovovertrædelser, jf. artikel 10. ”

TL:DR - Dataansvarlig skal udpege en databeskyttelsesrådgiver. hvis data foretages af det offentlige, databehandling er deres kerneaktivitet og det er særlige kategorier og personoplysninger vedrørende dom/lovovertrædelser.

Question 22

Hvilke sanktioner finder sted ved GDPR?

Answer 22

Artikel 82 - 84

Erstatning
• ”Administrative” bøder – op til 4% af global årlig omsætning eller 20 mio. €

Question 23

Hvad er følsomme personoplysninger?

Answer 23

Følsomme data er data, der afslører:

Racemæssig eller etnisk oprindelse
Politiske udtalelser
Religiøse eller filosofiske overbevisninger
Fagforening medlemskab
Genetiske data
Biometriske data med det formål at unikt identificere en fysisk person
Data vedrørende sundhed eller en fysisk persons sexliv og / eller seksuel orientering

Question 24

Hvad mener de med “register” i GDPR?

Answer 24

En given databehandlingsorganisation kan enten være “register” eller Processor baseret på deres svar på følgende to spørgsmål.
Hvorvidt den bestemte organisation bestemmer formålet med databehandlingen

(Hvorfor)?
Hvorvidt den bestemte organisation bestemmer midlerne til behandling (How)?

Hvis svaret er ‘Ja’, så er organisationen en “Register”, hvis svaret er ‘Nej’, så er Organisationen en Processor.