NY DATABESKYTTELSESLOV ER VEDTAGET og databeskyttelsesforordningen træder i kraft

Folketinget vedtog i sidste uge den nye databeskyttelseslov, som sammen med databeskyttelsesforordningen skal erstatte persondataloven med virkning fra den 25. maj 2018.

Forordningen gælder for personoplysninger. Ifølge Datatilsynet er ”personoplysninger enhver form for information, der kan henføres til bestemte personer, også selvom dette forudsætter kendskab til personnummer, registreringsnummer eller lign. også oplysninger i form af billede eller et fingeraftryk er personoplysninger. Selv om oplysninger som Navn eller adresse er erstattet af en kode, er det stadig personoplysninger, hvis koden kan føres tilbage til den oprindelige personoplysning. F.eks. er oplysninger, der er krypteret, fortsat personoplysninger, så længe, der er nogen, der kan gøre oplysningerne læsbare og identificere den person, det drejer sig om.”

Det er kun oplysninger om ”fysiske personer”, der er omfattet af forordningen.

I forordningen skelnes der mellem to typer af personoplysninger: almindelige personoplysninger og følsomme oplysninger. Der gælder strengere betingelser for at kunne behandle følsomme personoplysninger.

I art. 9 opregnes de oplysninger, som anses for følsomme personoplysninger: Oplysninger om race, etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, genetiske data, biometriske data, helbredsoplysninger, oplysninger om seksuelle forhold eller seksuelle orientering.

Personoplysninger, der ikke fremgår af art. 9 anses for almindelige personoplysninger.

Dog er oplysninger om strafbare forhold og lovovertrædelser og oplysninger om personnumre

en speciel form for personoplysninger, og behandling heraf er specifikt reguleret i databeskyttelsesloven.

Forordningen sondrer mellem, om man er dataansvarlig for behandlingen af personoplysninger, eller om man er databehandler.

Hvis man er i tvivl om, hvorvidt man er dataansvarlig eller databehandler for en behandling af personoplysninger, kan man se på, hvad det er for en ydelse, som man leverer. Hvis det først og fremmest drejer sig om at levere en anden ydelse end behandling af personoplysninger, taler det for, at man er dataansvarlig.

Kravene til en dataansvarlig er forskellige fra kravene til en databehandler. Den dataansvarlige skal bl.a. 1) sikre sig, at principperne for behandling er overholdt og kunne dokumentere dette, 2) sikre sig, at der er grundlag for at behandle personoplysningerne, 3) sikre sig, at de registreredes rettigheder iagttages, 4) sikre sig, at Datatilsynet får besked ved sikkerhedsbrud.

Forordningen finder anvendelse på behandling af personoplysninger. Begrebet ”behandling” omfatter ifølge Datatilsynets vejledning om databeskyttelsesforordningen, oktober 2017, ”enhver form for håndtering af personoplysninger. Det er først og fremmest elektronisk behandling af oplysninger, der er omfattet af reglerne. Det kan for eksempel være indsamling, registrering, systematisering, opbevaring, søgning, brug, videregivelse eller sletning af oplysninger.”

Man må behandle personoplysninger, når (A) de grundlæggende principper for behandling er iagttaget, og hvis (B) der er et lovligt grundlag for behandlingen.

  1. A) De grundlæggende principper skal overholdes, uanset hvilke type personoplysninger (almindelige, følsomme, strafbare forhold, personnumre) man behandler.

De grundlæggende principper er:

  • Lovlighed, rimelighed og gennemsigtighed – den dataansvarlige skal overholde reglerne for behandling af personoplysningerne. Den person, der behandles oplysninger om, skal som udgangspunkt have oplyst, hvem der er ansvarlig for behandlingen og hvad formålet er.
  • Formålsbegrænsning – den dataansvarlige skal gøre sig klart, til hvilket formål personoplysningerne indsamles, og indsamlingen skal være saglig.
  • Dataminimering – indsamling og behandling af personoplysninger skal begrænses til det, der er nødvendigt for at opfylde formålet med indsamlingen.
  • Rigtighed – personoplysningerne skal være rigtige og ajourført, og hvis dette ikke er tilfældet, skal de berigtiges eller slettes.
  • Opbevaringsbegrænsning – personoplysningerne skal slettes eller gøres anonyme, når det ikke længere er nødvendigt at have oplysningerne.
  • Integritet og fortrolighed – personoplysningerne skal beskyttes mod uautoriseret eller ulovlig behandling, mod at de går tabt eller bliver beskadiget.

(B) Lovligt grundlag for behandling er:

Grundlaget for behandling af personoplysninger er afhængig af, hvilken type personoplysninger, der er tale om.

Behandling kan altid finde sted på baggrund af et samtykke fra den registrerede. Vær opmærksom på, at der stilles en række krav til samtykket, før det er gyldigt (Se Datatilsynets vejledning om samtykke november 2017), og husk at man som dataansvarlig skal kunne bevise, at der foreligger et samtykke.  Grundlaget for behandling af almindelige personoplysninger kan – ud over samtykke – være en kontrakt eller en aftale, som den registrerede er part i. Behandlingsgrundlaget kan også være en retlig forpligtelse. Husk, at den registrerede skal have oplyst om grundlaget, hvorpå behandlingen baseres.

Ved håndtering af følsomme personoplysninger, er betingelserne for at behandle disse strengere end for almindelige personoplysninger. Der gælder som udgangspunkt et forbud mod at behandle følsomme personoplysninger, medmindre en af undtagelserne i artikel 9, stk. 2, finder anvendelse.

Grundlaget for behandling af følsomme personoplysninger kan – ud over samtykke – være, at behandlingen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares. Kan man ikke støtte behandlingen af følsomme personoplysninger på et samtykke eller et retskrav, kan man overveje, om et af de andre behandlingsgrundlag i forordningens artikel 9, stk. 2, kan udgøre hjemmel for behandling af de følsomme personoplysninger. F.eks. kan man behandle følsomme personoplysninger, som tydeligvis er offentliggjort af den registrerede.

Behandling af oplysninger om personnumre er reguleret i databeskyttelseslovens § 11. Grundlaget for privates behandling af oplysninger om personnumre kan – ud over samtykke – være, at det følger af lov eller bestemmelser fastsat i henhold til lov. Der kan eksempelvis være fastsat en indberetningspligt eller lignende i lovgivningen, som bestemmer, at indberetning skal ske med angivelse af personnummer.

Vær opmærksom på, at Datatilsynet anbefaler, at der anvendes kryptering, når en e-mail eller et vedhæftet dokument hertil indeholder cpr-numre eller følsomme personoplysninger.

De personer, som man behandler oplysninger om, har en række rettigheder, som man som dataansvarlig har pligt til at sikre:

  • Oplysningspligten – den enkelte registrerede skal som udgangspunkt have besked om, at der behandles oplysninger om den pågældende. Den registrerede skal bl.a. have besked om, hvem der er dataansvarlig, om formålet med behandlingen, om evt. modtagere af oplysningerne mv.
  • Retten til indsigt – den registrerede kan rette henvendelse og bede om at få indsigt i indholdet af de personoplysninger, som man behandler om vedkommende.
  • Retten til berigtigelse – den registrerede har ret til at få urigtige eller forkerte personoplysninger berigtiget.
  • Retten til sletning – den registrerede har som udgangspunkt ret til at få slettet personoplysninger om sig selv. I en række tilfælde har man dog ikke pligt til at imødekomme en anmodning om sletningen.
  • Retten til dataportabilitet – den registrerede har ret til at modtage personoplysninger om sig selv i et almindeligt anvendt og maskinlæsbart format og har ret til at overføre oplysningerne til anden myndighed eller virksomhed.

Visse virksomheder skal have en databeskyttelsesrådgiver, men de fleste private virksomheder skal ikke udpege en sådan.

Den dataansvarlige skal føre interne fortegnelser over sin behandling af personoplysninger. Af forordningens art. 30 fremgår, hvad disse fortegnelser skal indeholde. Dog er virksomheder, der beskæftiger under 250 personer ikke forpligtet til at føre sådanne fortegnelser, medmindre virksomhedens behandling af personoplysningerne sandsynligvis vil medføre risiko for registreredes rettigheder og frihedsrettigheder, behandlingen ikke er lejlighedsvis, eller behandlingen omfatter følsomme personoplysninger (art. 9, stk. 1) eller vedrører straffedomme og lovovertrædelser (art. 10).

Det påhviler den dataansvarlige at foretage en risikovurdering med henblik på at fastsætte et passende sikkerhedsniveau vedrørende behandling af personoplysninger.

Datatilsynet fører tilsyn med, at forordningen og databeskyttelsesloven overholdes, enten af egen drift eller efter klage fra en registreret.

Henvendelser vedrørende databeskyttelsesforordningen og/eller databeskyttelsesloven kan rettes til advokat Vivian Petersen på telefonnr. 3343 3333.