320 likes | 430 Views
Datatilsynets hjemmeside:. www.datatilsynet.dk abonnementsordning relevante links. Persondataloven. Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger Tilhørende bekendtgørelser og vejledninger. EF-direktivet. Direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske
E N D
Datatilsynets hjemmeside: • www.datatilsynet.dk • abonnementsordning • relevante links
Persondataloven • Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger • Tilhørende bekendtgørelser og vejledninger
EF-direktivet Direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger Formål: • Beskyttelse af privatlivets fred • Fri udveksling af oplysninger i EU
Oversigt over persondataloven • Afsnit 1: Anvendelsesområde • Afsnit 2: Behandlingsregler • Afsnit 3: Registreredes rettigheder • Afsnit 4: Sikkerhed • Afsnit 5: Anmeldelse • Afsnit 6: Tilsyn og afsluttende bestemmelser
Persondatalovens anvendelsesområde A) Al behandling af personoplysninger Enhver form for håndtering af oplysninger, f.eks. indsamling, registrering, systematisering, ændring, brug, overladelse, videregivelse, sletning. B) Dog kun hvis - behandlingen foretages ved hjælp af edb, - personoplysningerne er/vil blive indeholdt i et manuelt register, eller - anden manuel systematisk behandling af personoplysninger (kun private). C) Personoplysninger, jf. § 3, nr. 1.
Register (§ 3, nr. 3) Def: En struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier Fx: • Kartotekskasser • Journalbøger • Fortegnelser • Systematiske ringbind Men ikke samlinger af ”papirsager” eller enkelte ”papirsager”
Personoplysninger(§ 3, nr. 1) Def: Enhver information om en identificeret eller identificerbar fysisk person • ”fysisk person”, dvs. også oplysninger om enkeltmandsejede virksomheder • både objektive og subjektive oplysninger • i et vist omfang afdøde • omfatter bipersoner • ej anonyme oplysninger
Undtagelser(§ 2) • Anden lovgivning • EMK art 10 • Aktiviteter af rent privat karakter • Særregler for politi, anklagemyndighed, domstole • Folketinget og dets institutioner 6.-10. Medier og litterær virksomhed m.v. • Efterretningstjenesterne
Systematikken i lovens kapitel 4 § 5 Grundlæggende principper §§ 6-8 Generelle behandlingsregler • § 6 Almindelige oplysninger • § 7 Følsomme oplysninger • § 8 Andre følsomme oplysninger §§ 9-13 Særlige behandlinger § 14 Arkivering efter arkivloven
Grundprincipper § 5 • God databehandlingsskik:Databehandlingen skal være rimelig og lovlig • Formålsbestemthed: Indsamling skal ske til udtrykkeligt angivne og saglige formål. Senere behandling må ikke være uforenelig • Proportionalitet: Relevante og tilstrækkelige oplysninger. Ikke mere end nødvendigt • Datakvalitet: Ajourføring og kontrol. Sikre sig, at der ikke behandles urigtige eller vildledende oplysninger • Sletning når man ikke længere har brug for oplysningerne (eller hvis man ikke har et system med tilstrækkelig sikkerhed)
Racemæssig, el. etnisk baggr. Politisk, religiøs el. filosofisk overbevisning. Fagforening. Helbreds mæssige og sexuelle forhold. Behandlings- regler § 7 Strafbare forhold, væsentlige sociale problemer Andre rent private forhold Fx: selvmordsforsøg, registreret partner bortvisning fra jobbet, personlighedstest § 8 CPR-NUMMER Økonomi, skat, gæld, sygedage, tjenstlige forhold Familieforhold, bolig, bil, eksamen, ansøgning, CV Ansættelsesdato, stilling, arbejdsområde, arbejdstelefon Stamoplysninger: Navn, adresse, fødselsdato § 11 § 6
§ 6: Almindelige oplysninger • Nr. 1: Samtykke, jf. § 3, nr. 8 • Nr. 2: Nødvendig af hensyn til en aftale • Nr. 3: Nødvendig af hensyn til retlig forpligtelse • Nr. 4: Nødvendig for at beskytte den registreredes vitale interesser • Nr. 5: Nødvendig af hensyn til udførelsen af en opgave i samfundets interesse • Nr. 6: Offentlig myndighedsudøvelse • Nr. 7: Interesseafvejning
Samtykke (§ 3, nr. 8) Def: En viljestilkendegivelse, der skal være • frivillig • specifik • Hvem må behandle? • Hvilke oplysninger? • Til hvilke formål? • informeret • Hvad vil oplysningerne blive brugt til? Ej krav om skriftlighed Skal være udtrykkeligt, ej stiltiende Ingen tidsbegrænsning Kan tilbagekaldes, jf. § 38
§§ 7-8: Følsomme oplysninger • Strengere betingelser • Kan bl.a. behandles med samtykke
Den registreredes rettigheder • Pligt for den dataansvarlige til at give oplysninger ved indsamling (fx ved modtagelse af e-mails • Ret til indsigt i oplysninger om en selv (fx i e-mails) • Ret til at gøre indsigelse • Ret til at kræve urigtige oplysninger rettet, slettet eller blokeret • Ret til at modsætte sig automatiske afgørelser
Oplysningspligt§§ 28 og 29 Den dataansvarlige skal på eget initiativ oplyse om • Den dataansvarliges identitet • Formålene med behandlingen • Eventuelle yderligere oplysninger Der gælder dog en række undtagelser
Hvordan skal oplysningerne gives? • Ingen formkrav, ej heller skriftlighed • Oplysningspligten opfyldes af egen drift • Kun pligt til underretning én gang ved løbende indsamling
Undtagelse fra oplysningspligt, § 28 • Den registrerede er allerede bekendt med de oplysninger, der skal gives (§ 28, stk. 2) • Konkret undtagelse af hensyn til offentlige eller private interesser (§ 30) Bemærk særligt § 30, stk. 2, nr. 5 og 6.
Undtagelser fra oplysnings-pligt, § 29 • Den registrerede er allerede bekendt med de oplysninger, der skal gives (§ 29, stk. 2, 1. led) • Registrering eller videregivelse udtrykkeligt fastsat ved lov (§ 29, stk. 2, 2. led) • Underretning er umulig eller uforholdsmæssig vanskelig (§ 29, stk. 3) • Konkret undtagelse af hensyn til offentlige eller private interesser (§ 30)Bemærk særligt § 30, stk. 2, nr. 5 og 6.
Den registreredes indsigtsret(egenacces) § 31 Den registrerede har på begæring krav på oplysning om • Hvilke oplysninger (om den registrerede) der behandles • Behandlingens formål • Kategorierne af modtagere af oplysningerne • Tilgængelig information om, hvorfra disse oplysninger stammer
Begrænsninger i indsigtsretten • Afgørende hensyn til offentlige eller private interesser, herunder hensynet til den pågældende selv • Forskning og statistik • Tidsmæssig begrænsning
Undtagelse fra indsigtsret som efter offentlighedsloven (§ 32, stk. 2) • Gælder for den offentlige forvaltning • Oplysninger, der behandles som led i administrativ sagsbehandling, kan undtages fra indsigtsret efter persondataloven i samme omfang som efter regler i offentlighedsloven
Offentlige myndigheder, kap. 12 • HO: Alle behandlinger af personoplysninger skal anmeldes, jf. § 43 • U: § 44: - Ikke-fortrolige oplysninger - Identifikationsoplysninger, herunder personnummer, oplysninger om betaling til og fra off. myndighed. • U: Undtagelsesbekendtgørelse nr. 529, herunder undervisningssystemer • Der skal tillige indhentes forudgående udtalelse, hvis følsomme oplysninger, jf. § 45, stk. 1.
Private, kap. 13 • HO: Behandlinger af følsomme oplysninger skal anmeldes, jf. §§ 48-49 samt undtagelsesbekendtgørelse nr. 534. • Visse undtagelser, f.eks. oplysninger om forenings medlemmer (§ 49, stk. 1, nr. 6) • Der skal tillige indhentes tilladelse til behandlingen, jf. § 50, stk. 1.
Behandlingssikkerhed • Der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod at oplysninger • hændeligt eller ulovligt tilintetgøres, fortabes eller forringes • kommer til uvedkommendes kendskab • misbruges • behandles i strid med loven
Sikkerhedsbekendtgørelse • Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (nr. 528) • Almindelige bestemmelser • Generelle sikkerhedsbestemmelser • Supplerende sikkerhedsforanstaltninger for anmeldelsespligtige behandlinger
Generelle sikkerhedsbestemmelser • Der skal fastsættes særlige retningslinier for pc-arbejdspladser uden for den dataansvarliges lokaliteter • Hjemmearbejdspladser • Bærbare pc’er • PDA’er og lign.
Generelle sikkerhedsbestemmelser • Autorisationsordning • Formel autorisation af brugere til anvendelse af nødvendige personoplysninger • Teknisk adgangskontrol • Oftest baseret på brugeridentifikation og password
Brug af Internet • Fortroligheden af personoplysninger, som transmitteres via internet, skal sikres ved hjælp af forsvarlig kryptering • Fortrolige oplysninger og herunder CPR-nr. skal krypteres • Ved følsomme oplysninger skal anvendes stærk kryptering
Supplerende sikkerhedsforanstaltninger • Gælder generelt set kun for de fortro-lige oplysninger, som indgår i en given behandling • Differentieret adgangskontrol • Løbende kontrol af autorisationer • Opfølgning på afviste adgangsforsøg • Logning