View
2
Download
0
Category
Preview:
Citation preview
Databeskyttelsesforordningen i uddannelsessektoren
19. APRIL 2018
Side 1
v/Martin Sønnersgaard, advokat, senior manager
Dagsorden
1) Det nye retlige landskab
2) Ny dom om personoplysninger i eksamenskontekst
3) Behandling af personoplysninger om unge under 18
år
4) Samtykke og interesseafvejningsreglen
5) Sletning
6) Brud på persondatasikkerheden
19. APRIL 2018
Side 2
Det nye retlige landskab
› Databeskyttelsesforordningen bliver det primære retsgrundlag
› Persondataloven (og bekendtgørelserne udstedt i medfør af den) ophæves fra
den 25. maj 2018
› Forordningen er almengyldig. Den er bindende i alle enkeltheder og gælder
umiddelbart i Danmark og de andre medlemsstater.
› Ny dansk lov om databeskyttelse – 3. behandling 3. maj 2018
› Domme fra EU-domstolen og andre EU-retlige kilder
19. APRIL 2018
Side 3
bruges i stedet
Personoplysninger i eksamenskontekst – sag C-434-16, Nowak
› Indholdet af en eksamensbesvarelse kan anses som personoplysninger, fordi indholdet af besvarelsen afspejler
eksaminandens "viden og kompetence inden for et givent område samt i givet fald hans tankegang, dømmekraft og kritiske
sans." (pr. 37)
› Hvis prøven skrives i hånden, indeholder besvarelserne tillige oplysninger vedrørende hans håndskrift. (pr. 37)
› Eksaminators rettelser og kommentarer til eksamensbesvarelsen er også personoplysninger (om både deltageren og
eksaminatoren). (pr. 44)
› Ret til indsigt omfatter elevens eksamensbesvarelse samt eksaminators rettelser og kommentarer hertil (pr. 51)
› …men ikke eksamensspørgsmål, da disse, som udgangspunkt, ikke indeholder personoplysninger (pr. 58).
› Og ikke ret til efterfølgende berigtigelse af ”forkerte” besvarerelser ☺ (pr. 52).
› Bredt personoplysningsbegreb!
19. APRIL 2018
Side 4
Behandling af personoplysninger om unge under 18 år
› Hvornår er man persondataretligt ”myndig” og kan
samtykke til behandling af personoplysninger?
› 15 år – men individuelt modenhedskriterium, jf. Datatilsynets
afgørelse i j.nr. 2003-321-0243 (Vedrørende oplysningspligt i
forhold til børn og unge)
› Hvem kommunikerer vi med – f.eks. ift.
underretningspligten?
› HR: Meddelelse skal gives til børn og unge selv, når de er fyldt 15
år.
› Der skal som altovervejende hovedregel også gives meddelelse til
forældremyndighedsindehaveren.
› U: Sagen er af en sådan privat karakter for den mindreårige, at dette
kan begrunde undladelse af at give meddelelse til
forældremyndighedsindehaveren.
19. APRIL 2018
Side 5
bruges i stedet
Samtykke (art. 7)
› Et samtykke skal være en frivillig, specifik, informeret og utvetydig viljestilkendegivelse, jf. art. 4, nr. 11
› Dataansvarlige skal – som hidtil – kunne påvise, at datasubjektet har samtykket til behandlingen
› Kravene til bevis for samtykke skærpes, jf. utvetydighed
› Samtykket skal være adskilt fra øvrige tekst
› Det er en gyldighedsbetingelse for et samtykke, at der forinden er informeret om muligheden for at trække samtykket
tilbage. Det skal være lige så let at trække tilbage som at give det.
› Kan man bruge de ”gamle” samtykker fremadrettet?
6. SEPTEMBER 2016
6
Nogle eksempler…
› Udsendelse af materiale til studerende
› Et uddannelsessted må ikke udlevere studerendes navne og
adresser til brug for udsendelse af informations- eller
markedsføringsmateriale uden de studerendes samtykke.
› Udsendelse af informationsmateriale om diverse studie- og
erhvervsrelevante tiltag til de studerende kan ske uden
samtykke. Der må dog ikke udsendes egentligt
markedsføringsmateriale.
› Elevoplysninger på internettet
› Offentliggørelse af oplysninger om elever i form af navne,
portrætbilleder, klassebilleder eller fritidsinteresser på skolens
hjemmeside må kun ske, hvis der forinden er indhentet
samtykke fra hver enkelt elev.
› Situationsbilleder vs. portrætbilleder
6. SEPTEMBER 2016
7
Nogle eksempler…
› Kontrol af de studerendes internetbrug, f.eks. i form af
logning
› Kan ske uden samtykke, hvis hensynet er at sikre en etisk
forsvarlig brug af internettet, herunder sikre, at der ikke
downloades pornografisk materiale o.lign.
› Forudsætning at de studerende informeres på forhånd om
kontrollen
› (Rt. j.nr. 1999-210-189 (RÅ 1999, s. 48-49)
› Videregivelse af karakterer etc.
› En uddannelsesinstitution kan normalt udlevere oplysninger
om, hvilke elever der går på skolen (klasselister) uden
samtykke
› Men som altovervejende hovedregel ikke oplysninger om
karakterer o.lign.
› (Retsudvalgets spm. nr. 57 til lovforslag L 44 af 8. oktober
1998)
6. SEPTEMBER 2016
8
Samtykke – anbefalinger
19. APRIL 2018
Side 9
› Samtykket er sårbart: Overvej, om I kan bruge andet
grundlag end samtykke
› Hvis den registrerede tilbagekalder et samtykke, så
overvej, om I kan bruge andre behandlingshjemler
› Hvis I skal bruge samtykke, så overvej, om samtykket er
gyldigt
› Overvej at informere om muligheden for tilbagekaldelse
af samtykket inden den 25. maj 2018
› Husk at I skal kunne bevise, at I har fået et gyldigt
samtykke
Interesseafvejningsreglen
› Databeskyttelsesforordningens artikel 6, stk. 1, litra f -
behandling er nødvendig for, at den dataansvarlige eller en
tredjemand kan forfølge en legitim interesse
(interesseafvejningsreglen)
› Stor betydning i praksis – navnlig på HR-området
› Men: Gælder ikke for offentlige myndigheder (artikel 6, stk. 1,
litra f, 2. afsnit)
› Hvad gør man fremadrettet?
6. SEPTEMBER 2016
10
Interesseafvejningsreglen (fortsat)
› Bet. 1565, s. 134 f: Vil formentlig ikke få den store betydning i
praksis – kan bruge andre hjemler, f.eks. artikel 6, stk. 1, litra c
(retlig forpligtelse) eller artikel 6, stk. 1, litra e (opgave i
samfundets interesse/offentlig myndighedsudøvelse)
› Ny interesseafvejningsregel i databeskyttelseslovudkastets § 12,
stk. 2, af relevans på HR-området
6. SEPTEMBER 2016
11
Sletning – hvornår skal man slette?
› Nødvendighed – artikel 5, stk. 1, litra e
› Pr. 39: ”For at sikre, at personoplysninger ikke opbevares
i længere tid end nødvendigt, bør den dataansvarlige
indføre tidsfrister for sletning eller periodisk
gennemgang.” => Slettepolitik.
› Slettehensyn
› Pligt til at gemme / særlige regler om sletning
› Arkivlovgivning
› Bogføringsloven
› Tjenestemandsloven (pensionsoplysninger etc.)
› Tv-overvågningsloven – max 30 dages opbevaringsperiode
› Øvrig særlovgivning på uddannelsesområdet
› Et eksempel…
› Skriftlig eksamensbesvarelse samt eksaminators rettelser
skal slettes, når først prøven er endelig afsluttet og ikke
længere kan anfægtes, således at besvarelsen samt
rettelserne og kommentarerne har mistet enhver
beviskraft, jf. C-434/16, Nowak, (pr. 55).
19. APRIL 2018
Side 12
Hvad vil det sige at slette effektivt?
› Sletning skal være effektiv og uigenkaldelig
› Også sletning af backup, hvis teknisk muligt
› Overvej effektiv anonymisering som alternativ til sletning
› Husk behandlingssikkerheden – destruktion af
lagringsmedier
› Husk tilsyn med databehandlere, herunder om sletning
› Antagelse af en ekstern leverandør til sletning kræver en
databehandleraftale med den pågældende leverandør efter
databeskyttelsesforordningens regler herom
19. APRIL 2018
Side 13
Brud på persondatasikkerheden
19. APRIL 2018
Side 14
Hvor kan det gå galt?
› Menneskelige fejl
› Sender e-mails uden kryptering eller til forkert modtager,
glemmer USB-sticks, lader papirer flyde i printerrummet
› Organisatoriske fejl
› Glemmer at fastsætte eller opdatere interne retningslinjer,
manglende kontrol med databehandlere, manglende
undervisning eller instruktion af medarbejdere
› Systemmæssige fejl
› Utilstrækkelig sikkerhed i IT-systemer, f.eks. ikke mulighed for
at slette effektivt, manglende kryptering, utilstrækkelig
adgangskontrol, for bred adgang til oplysninger etc.
19. APRIL 2018
Side 15
Hvilke pligter har vi?
› Persondataforordningen art. 33, stk. 1:
› ”Ved brud på persondatasikkerheden anmelder den
dataansvarlige uden unødig forsinkelse og om muligt senest 72
timer, efter at denne er blevet bekendt med det, bruddet på
persondatasikkerheden til den tilsynsmyndighed, som er
kompetent…”
› Persondataforordningen art. 34, stk. 1:
› ”Når et brud på persondatasikkerheden sandsynligvis vil
indebære en høj risiko for fysiske personers rettigheder og
frihedsrettigheder, underretter den dataansvarlige uden unødig
forsinkelse den registrerede om bruddet på
persondatasikkerheden.”
19. APRIL 2018
Side 16
Eksempler på brud
› En medarbejder har adgang til en sag, som den
pågældende ikke bør have adgang til
› En medarbejder sender en e-mail med fortrolige eller
følsomme personoplysninger til den forkerte
› En HR-medarbejder sender ved en fejl lønsedler og
ansættelseskontrakt til en forkert medarbejder i
organisationen.
› En computer med ansættelsessager bliver stjålet
19. APRIL 2018
Side 17
Anbefalinger til intern implementering
› Fastsæt interne retningslinjer for konstatering, stop,
evaluering og underretning af brud – overholdelse af
72 timers-fristen
› Fastsæt krav til leverandører i databehandleraftaler og
underdatabehandleraftaler om bistand ved
sikkerhedsbrud – og betaling
› I skal føre et internt dokumentationsregister over brud
– artikel 33, stk. 5
19. APRIL 2018
Side 18
bruges i stedet
19. APRIL 2018
Side 19
Læs mere på www.kammeradvokaten.dk/dpo
✓Redskaber til at vedligeholde persondataretlig compliance
efter den 25. maj 2018
✓Lejlighed til at dele erfaringer og sparre om løsninger og
metoder med netværkets øvrige deltagere
✓Udvidelse af dit professionelle netværk, som du kan
trække på fremadrettet
✓Mulighed for at høre spændende oplæg og cases om
aktuelle emner fra førende eksperter fra toneangivende
virksomheder og offentlige myndigheder
✓Adgang til et online forum til at udveksle erfaringer
mellem møderne
Læs mere på http://kammeradvokaten.dk/viden/dpo-
netvaerket/
19. APRIL 2018
Side 20
Kammeradvokatens persondataspecialister
19. APRIL 2018
Elisabeth Andersen-MøllerAdvokatDigitalisering og Regulering
M: 24 23 54 66
elan@kammeradvokaten.dk
Jesper NørøxePartner, Advokat (L)Digitalisering og Regulering
M: 25 10 05 13T: 72 30 72 41jno@kammeradvokaten.dk
Martin SønnersgaardAdvokatDigitalisering og Regulering
M: 50 77 84 23T: 72 30 74 25mso@kammeradvokaten.dk
Rasmus Holm HansenPartner, Advokat (H) Digitalisering og Regulering
M: 25 10 05 58
rhh@kammeradvokaten.dk
Sune FugleholmPartner, Advokat (H) Digitalisering og Regulering
M: 25 43 03 10 T:: 72 30 72 76 sfs@kammeradvokaten.dk
Louise OlsenAdvokatfuldmægtigDigitalisering og Regulering
M: 61 24 51 36
lool@kammeradvokaten.dk
David KnobelAdvokatUdbud, Transaktioner, EU og Markedsret
M: 61 24 51 25T: 72 30 73 51dakn@kammeradvokaten.dk
Milena Anguelova Krogsgaard Partner, Advokat (L)Digitalisering og Regulering
M: 25 10 05 57T: 72 30 74 77man@kammeradvokaten.dk
Niels BankePartner, Advokat (H)Ansættelsesret
M: 25 43 03 07T: 72 30 73 49ban@kammeradvokaten.dk
Kirsten Marie PetersenAdvokatfuldmægtigDigitalisering og Regulering
M: 22 26 23 57T: 72 30 73 81kipe@kammeradvokaten.dk
Anni Noes WestergaardAdvokat (L)Digitalisering og Regulering
M: 25 10 05 99T: 72 30 74 17anwe@kammeradvokaten.dk
Jakob KambyPartner, Advokat (L) Digitalisering og Regulering
M: 25 10 05 31T:: 72 30 74 65 jka@kammeradvokaten.dk
Side 21
Recommended