Databeskyttelsesforordningen - justitsministeriet.dk · Betænkning om Databeskyttelsesforordningen (2016/679) – og de retlige rammer for dansk lovgivning Del I, bind 1 Betænkning

Databeskyttelsesforordningen og de retlige rammer for dansk lovgivning

Betnkning nr. 1565

Del I bind 1

Betnkning om

Databeskyttelsesforordningen (2016/679) og de retlige rammer for dansk lovgivning

Del I, bind 1

Betnkning nr. 1565

4.7. Ret til sletning (retten til at blive glemt), artikel 17

vedrrende databeskyttelse, artikel 35

3

r blev der i forbindelse med projektarbejdet afholdt stormder, hvor bl.a. int

9

knaster i der med likemindede lande, hvor

1110

i hvert afsnit oftest under overskriften databeskyttelsesforordningen hvornr der er tale om nye rettigheder.

1312

om data protection by design. databeskyttelsesforordningen er skabt eller

og konomforbundets Forlag, 2016, s. 195 (herefter Peter Blume, Den nye persondtaret (2016)) og i Juristen, 2016, nr. 4, s. 169

1514

udtrykket, ten

21

Begreberne personoplysninger, behandling ogregister er nrmere defineret i perso

25

Begrebet automatisk databehandling er sammenfaldende med edb eller elektronisk behandling, som anvendes i databeskyttelsesdirektivets artikel 3, stk. 1. dan hrer under EUs kompetence. Forordningen finder derfor eksempe

29

direkte beskatning ikke hrer under EUs kompetence.

ikke som sdan hrer under EUs kompetence.

3130

Begrebet etableret m antages at svare til begrebet som anvendt i databeskyttelsesdire

33

sig inden for EUs grnser.

3534

Frantiek Ryne

115 (herefter Persondataloven med kommentarer (2015)).

3938

selvvalgte venner. Det er anfrt, at manglende adgangsbegrnsninger (og den deraf oaf udtrykket aktiviteter af rent privat karakter i forbindelse med behandling af persono

39

fastlggelsen af rkkevidden af begrebet aktiviteter af rent privat karakter ved behan

4140

Begrebet personoplysninger

4342

muligt at udpege registrerede, selv om deres virk

45

. Begrebet behandling

4746

2s forstand med den virkning, at sdan overl sig selv er tale om en behandling i 3, nr. 2s forstand. Som eksempler herp nvnes ove. Begrebet register med personoplysninger (register) Begrebet "den dataansvarlige

47

til at "afgre, til hvilket forml og med hvilke hjlpemidler []" kan stamme fra forskell gruppens udtalelse nr. 1/2010 om begreberne registeransvarlig og registerfrer (WP 169).

4948

Begrebet databehandleren

5150

Begrebet tredjemand

51

. Begrebet modtager

5352

. Begrebet samtykke

53

om, at registrerede har givet sit samtykke formentlig m atrykket udtrykkeligt i databeskyttelsesdirektivets artikel 8, stk. 2, litra a, efter udvalgets

5554

. Begrebet tredjeland

55

. Begrebet personoplysninger identificeret eller identificerbar fysisk person (den registrerede); ved identificerbar fysisk

5756

2. Begrebet behandling .3. Begrebet begrnsning af behandling

57

4. Begrebet profilering

5958

5. Begrebet pseudonymisering

59

6. Begrebet register 7. Begrebet dataansvarlig 8. Begrebet databehandler 9. Begrebet modtager

6160

10. Begrebet tredjemand 11. Begrebet samtykke

61

12. Begrebet brud p persondatasikkerheden

6362

14. Begrebet biometriske data 15. Begrebet helbredsoplysninger

63

16. Begrebet hovedvirksomhed

6564

17. Begrebet reprsentant

65

18. Begrebet foretagende 19. Begrebet koncern

6766

20. Begrebet bindende virksomhedsregler

67

21. Begrebet tilsynsmyndighed

22. Begrebet berrt tilsynsmyndighed

6968

23. Begrebet grnseoverskridende behandling

24. Begrebet relevant og begrundet indsigelse

69

der ved begrebet tjeneste forsts enhver

7170

26. Begrebet international organisation Nr der i databeskyttelsesforordningens artikel 4, nr. 2, tales om automatisk behandling m dette i vrigt antages at svare til begrebet elektronisk databehandling, som er nvnt i

71

oplysning i forordningens artikel 4, nr. 1s forstand. Det m derfor afklares i skyttelsesforordningens artikel 4, nr. 1s definition af personoplysninger.

7372

begrebet regster, der svarer til definitionen i direktivet. Sprgsmlet e

73

15 om, at , svarer i al vsentlighed ogs til sidste led af direktivets prambelbetragtning

7978

f.eks. til administration, vil ikke vre tilstrkkelig til at opfylhed. Derimod m en mere prcis angivelse som f.eks. til brug for udbud af finansielle ydelser, anses for tilstrkkeligt.

81

ationsrapporten beskrevet sledes: Der var lys i huset, hvor SKL kunne ses gende rundt. Det var Datatilsynets opfattelse, at observation af klager i

8382

For nrmere herom henvises til Datatilsynet pjece Kend din ret.

87

amlende overskriftsparentes med ordlyden:

9190

vre uforeneligt med det oprindelige indsamlingsforml p baggrund af forenelighedststen i artikel 6, stk. 4, 2. led, litra a

9392

den dataansvarlige, bl.a. p baggrund af testen i litra a p baggrund af denne ikkeuforenelighedstest t.: ne.

9594

I den engelske udgave af forordningen: accurate and, where necessary, kept up to date.

9796

101100

103102

mark, stilles der vilkr om pseudonymisering i videst muligt omfang. Der gives som

103

105104

formlsbegrnsning

105

107106

tegorier af personoplysninger (flsomme oplysninger Srlige kategorier af oplysninger (flsomme oplysninger) betragtning 10 og 51 er omtalt som flsomme.

107

109108

111110

indeholdt lovens 6, stk. 1, ikke ordet udtrykkelige. Den nuvrende persondatalov indeholder som anfrt ordene udtrykkelige samtykke i

113112

115114

en retlig forpligtelse

117116

119118

gen skal dog vre ndvendig af hensyn til udfrelsen af en opgave, som henhrer under

121120

123122

artikel 7, litra f, om begrebet legitim interesse, at der ingen tvivl var om, at en tredj Frantiek Ryne

123

125124

127126

lektive overenskomster kan skabe en retlig forpligtelse i enskomster er ogs p europisk plan anerkendt for sin srlige status. EUs charter for kan statuere en retlig forpligtelse i den forstand, hvori udtrykket er anvendt

129128

131130

henhrer under offentlig myndighedsudvelse, jf. artikel 6, stk. 1, litra e.

131

133132

135134

137136

t fortolke en opgave i samfundet interesse bredt, en opgave i samfundet interesse mailtrafik eller personaleevalueringer kan rummes indenfor en opgave i samfundets interesse. Artikel 29som led i myndigheders forvaltning og drift skal anses for lo

139138

141140

143142

145144

147146

prcisere

147

149148

om en slags dobbelthjemmel

151150

cifikt omrde skal ligge i samfundets interesse og/eller offentlig myndighedsudvelse nal srlovgivning i forordningens artikel 6, stk. 2, hvorefter de skal vedrre specifikke behandling eller specifikke databehandlingssituationer. Grnsen i artikel 6, stk. 2, om bl.a. specifikke krav m i hvert fald betyde, at nationale kel 6, stk. 2s rammer. specifik databehandlingssituation til, at den ligger inden for artikel 6, stk. 2s rammer

153152

gt, at man altid kan behandle persono

153

gruppen begrebet legitim interesse eresse er legitim flge, dvs. i national lovgivning. Som uddybning hertil fremgr det af udtalelsens side 26, at [e]n interesse kan betragtes . (fremhvet her) Det

155154

handlingen foregik i samfundets interesse eller var et led i . Selvom det fremgr af artikel 6, stk. 3, 1. punktum, at grundlaget for behandling i henhold es nationale ret, vurdres ordet skal sledes ikke at f den selvstndige betydning, at f.eks. artikel 6, stk. 1, ordet skal blev artikel 6, stk. 3, 1. punktum, at grundlaget skal fremg af bl.a. EUretten, herunder Artikel 6, stk. 3, anses p den baggrund frst og fremmest blot at vre en uddybning af

155

157156

gelse af indholdet af en retlig forpligtelse, at formlet med behandlingen skal vre faslagt i det nationale retsgrundlag. Dette krav m antages i en dansk behandlingen skal vre ndvendig for udfrelsen af en opgave i samfundets interesse offentlig myndighedsudvelse. Det m ogs her vre tilstrkk ndvendig.

159158

161160

at overholde en retlig forpligtelse, som phviler den dataansvarlige (artikel 6, hensyn til samfundets interesse (artikel 6, stk. 1, litra e).

161

ter, afgrelser mv. munder ud i en tjekliste

163162

165164

.Tjekliste for bedmmelse af eksisterende

165

2. Tjekliste ved

167166

er ndvendig.

169168

ket er

171170

nr. 8, iflge hvilken et samtykke skal vre informeret, m derfor som min

171

173172

s

173

175174

stemmelsen netop nvner, at den dataansvarlige skal kunne pvise.

175

[] Enhver del af en rordning, er ikke bindende,

177176

179178

melsen m fastlgge et fortolkningsprincip om strst mulig hensyntagen til skvheder

179

Bestemmelsen ses ud fra en ordlydsfortolkning af artikel 7, stk. 4, (som ikke er ndvedig) dog ikke at fre til, bestemmelsen forudstter sledes blot, at behandlingen af de pgldende oplysninger

181180

183182

185184

Det fremgr af forordningens artikel 6, stk. 1, litra a, at behandling af almindelige pe fremgr, at der ved begrebet tjeneste forsts

185

tet af begrebet informationssamfundstjeneste.

187186

189188

helbredsoplysninger

191190

orientering ogs efter gldende ret er omfattet af begrebet oplysninger om seksuelle fohold. Det ses derfor ikke, at det med d

191

Biometrisk data m skulle forsts i overensstemmelse med udtrykket biometriske oplyninger efter gldende ret.

193192

195194

197196

meget stort antal venner p Facebook. Ogs i dette tilflde kan oplysningerne om pers

199198

visning, som sker i det flleskommunale vgopgrelsessystem

201200

203202

205204

207206

f.eks. hvis behandlingen sker af hensyn til den des eller en anden fysisk persons vitale interesser, jf. litra c. prambelbetragtning nr. 52, 1. pkt., at [d] og er omfattet af de forndne garantier. Se

207

Registerudvalget anfrte i betnkning nr. 1345, at der med udtrykket udtrykkeligt i dom betingelser for samtykke, artikel 7. Ordet udtrykkeligt i foror

209208

der ogs faststtes forndne garantier. Ved faststtelsen

211210

213212

ndlingen er ndvedig, jf. kravet herom i forordningens artikel 9, stk. 2, litra f, og myndigheden eller den

215214

stk. 2, litra b, der alene stiller krav om forndne garantier

217216

219218

221220

dende litraers omrder, men ogs sledes, at de pgldende regler skal aktiveres i natiget. Artikel 9, stk. 2, litra h, kan aktiveres i henhold til en kontrakt med en sundhedspeson, jf. bestemmelsens ordlyd.

223222

ger i forbindelse med brug af f.eks. artikel 9, stk. 2, litra g, om vsentlige samfundsintresser. . Eksempelvis omhandler artikel 9, stk. 2, litra b, specifikke rettigheder. I og med at i litra bs s vidt angr arbejdsretlige forpligtelser. I det omfang medlem

223

225224

3.8.4.1. Tjekliste for bedmmelse af eksisterende nationale srregler vedrrende f

227226

proportional (eksempelvis litra g str i rimeligt forhold til det ml, der forflges). Heru 3.8.4.2. Tjekliste for udarbejdelse af

227

(eksempelvis litra g str i rimeligt forhold til det ml, der forflges), herunder ogs

229228

231230

ninger, jf. ordene herunder begrnsninger i artikel 9, stk. 4.

231

anses for at vre dkket af udtrykket strafbare forhold som efter d og idet det blev forudsat, at udtrykket strafbare forhold fortolkes i lyset af direktivets artikel 8, stk. 5

233232

235234

237236

239238

241240

og idet det forudsttes, at udtrykket strafbare forhold fortolkes i en viderefrelse af gldende ret for s vidt angr betegnelsen strafbare forhold.

243242

ere, for s vidt angr strafbare forhold, antages at leve op til kravet om at udgre specifikke bestemmelser om anvende

243

245244

Det kan derfor antages, at de snvre betingelser for privates behandling af oplysninger

247246

Et register anses for at vre fuldstndigt i persondatalovens 8, stk. 7s og artikel 8, stk. 5s forstand, nr det indeholder oplysninger om samtlige afsagte straffe

247

However, a der the control of official authority

Any

Ett kontroll av en myndighet.

alene omfatter et (p dansk:

.

0, 2., pkt., henviser til et complet

Tout registre

249248

Alle versioner af EUs officielle sprog er autentiske og de forskellige sproglige versioner

249

251250

af begrebet personoplysning og persondataloven, uden at den dataansvarlige

251

(ikke forpligtet til) ikke antages p forhnd at

253252

jf. ordet underretter

253

255254

257256

259258

261260

Af den engelske sprogversion flger det, at den dataansvarlige skal of data subject rights. P dansk kan dette ogs oversttes til facilitering, hvilket betyder at

263262

i databeskyttelsesdirektivet, hvoraf det fremgr, at indsigtsbegringer skal besvares uden id.

265264

tider: Bortset fra enkelte srregler som f.eks. forvaltningslovens 16, stk. 2, er der ikke i sourcer og arbejdsopgaver [ ].

265

267266

269268

271270

273272

275274

277276

279278

udtalte Datatilsynet, at det endvidere var tilsynets opfattelse, at anvendelse af RKIs lukk

281280

283282

285284

Med betegnelsen kategorierne af modtagere i direktivet og i forordningen m der angivelser af modtagere ssom andre offentlige myndigheder, samarbejdspartnere, datterselskaber mForordningen tager ved ordet forbehold for, at det ikke

287286

Det flger af formuleringen, hvor det er relevant

287

289288

291290

forekomsten afNr de dataansvarlige alene skal oplyse om logikken i automatiske afgrelser, kan det for behandlingen, og hvordan systemet kommer frem til de forskellige afgrelser.

291

293292

295294

al forsts ved udtrykket ved registrering. Under hensyntagen til, at udtrykket skal fastlgges p baggrund af datab , at den tidsfrist, der kan indlgges i begrebet ved registreringen afhnger af sagens nrmere omstndigheder. Den dataansvarlige skal do

295

som inden for ganske kort tid, jf. pkt. 2.2.1. i rettighedsvejledningen.

297296

299298

301300

303302

305304

, hvor underretning kan undtages, sfremt det er uforholdsmssigt vanskelig., sfremt det vil krve en uforholdsats, taler i retning

307306

des med henvisningen til lovbestemte tavshedspligt i forordningens artikel 14, stk. 5,

309308

311310

313312

315314

317316

319318

321320

323322

Datatilsynet har udfrdiget en pjece; Kend din ret. Nr du mener, der er forkerte oplyninger i myndigheders sager, som omhandler berigt

325324

synets pjece Kend din ret. Nr du mener, der er forkerte oplysninger i myndigheders sager.Datatilsynets pjece Kend din ret. Nr du mener, der er forkerte oplysninger i myndigheders sager.Datatilsynets pjece Kend din ret. Nr du mener, der er forkerte oplysninger i myndigheders sager.

325

327326

(retten til at blive glemt)

329328

331330

131/12) omhandlede p internettet. Domstolen fastslog heri for det frste, at artikel 12, litra b,

331

kan tilbagekaldes med tilbagevirkende kraft, og at virkningen af en tilbage

333332

335334

dataansvarliges pligt til underretning, og dermed fra retten til at blive glemt.

335

P baggrund af de omfattende undtagelser til retten til sletning og retten til at blive glemt

337336

Begrebet blokering er hentet fra tysk ret, hvor blokering indebrer en markering af lagrat begrnse yderligere behandling eller brug af disse. De

337

behandlingen begrnset, s den tvetydige terminologi blokering undgs, defineres begrnsning af behandling som en mrkning af opbev

339338

m antages at indebre en begrnset begrnsning af behandlingen til at ang den

339

ret i databeskyttelsesdirektivets artikel 12, litra b, om blokering. For s vidt angr sa

341340

343342

345344

347346

349348

fortolkning af betegnelsen om den registrerede selv

349

Sdanne udledte olysninger kan f.eks. best af den dataansvarliges analyser eller anden bearbejdning p

351350

For s vidt angr begrebet indbyrdes kompatibelt format, anvendes begrebet interop, som kan oversttes til interperabilitet, der er et EU Herudover er det et krav, at oplysningerne skal vre i et struktureret, almindeligt avendt og maskinlsbart format. For s vidt angr maskinlsbart format, er dette et EU operationalitet for je

353352

ra a, om den registreredes indsigelsesret, jf. bestemmelsens ordlyd om i det mindste.

355354

357356

359358

361360

363362

365364

fremgr, at der ved begrebet tjeneste forsts

367366

369368

371370

373372

ikel 22s relse i artikel 22s forstand.

375374

om en afgrelse i artikel 22s forstand, sfremt den afgrelse, der trffes, sker ved en rent viser sledes, at det kan vre en automatisk afgrelse i artikel 22s forstand, ogs selvom Et eksempel p en automatisk afgrelse i artikel 22s forstand vil f.eks. kunne vre, nr et Det vil endvidere eksempelvis vre en automatisk afgrelse i artikel 22s forstand, hvis en

375

vre en automatisk afgrelse i artikel 22s forstand, idet en sdan afgrelse vil artikel 22s forstand, hvis arbejdsgiveren ud fra et automatiseret system p forhnd fraso l 22s forstand, hvis en

377376

Kravet om ndvendighed knytter sig sledes til selve indgelsen eller opfyldelsen af trakten. Kravet om ndvendighed m nrmere udfyldes i praksis. Eksempelvis m det antages at vre ndvendigt, at den dataansvarlige trffer en aut

377

379378

blive etableret en fast track

379

fast track

381380

383382

For nrmere om definitionen af brn henvises til afsnit 3.6. om

383

Men prambelbetragtningens ordlyd om, at behandling ikke br omfatte barn er et fo

385384

litra g, finder anvendelse, bevirker dette blot, at behandlingen skal ligge inden forrammerne af vsentlige samfundsinteresser.

385

387386

389388

[], herunder valuta

389

391390

393392

395394

t i databeskyttelsesdirektivet, eksempelvis hensynet til forebygelse af trusler mod den offentlige sikkerhed, jf. artikel 23, stk. 1, litra d, hndhvelse af civilretlige krav, jf. artikel 23, stk. 1, litra j, mv.

397396

relevant at faststte specifikke bestemmelser efter artikel 23, stk. 2, foretages nationalt Der er ikke noget fortolkningsbidrag til bestemmelsens ordlyd om som minimum, hvor det er relevant lov ger

399398

vendingen hvor relevantDet fremgr i den forbindelse som et fortolkningsbidrag til udtrykket lovgivningsmssig foranstaltning i artikel 23, stk. 2, af prambelbetragtn at regulaf persondatalovens 30, lgges bnd p den dataansvarlige.

399

401400

undtagelse af oplysninger, hvis ordlyd er henholdsvis afgrende vgt og afgrende hensyn.

403402

nsvar. I stedet flger dette implicit af henholdsvis definitionen af den dataansvarlige Det flger sledes af definitionen af den dataansvarlige i persondatalovens 3, nr. 4, at

403

405404

407406

409408

appropriate technical and organizational measures be taken, both at the time of the cessing system and at the time of the processing itselfi den danske betragtning findes sledes at vre knyttet til udformnigen af behandlingssystemet. kommer til uvedkommendes kendskab. En cleandeskgruppens udtalelse om The Future of Privacy, vedtaget den 1. december 2009, (WP 168), s.

409

grebet indbygget privatlivsbeskyttelse i

411410

blge 3

413412

, at der med andre ord skulle anvendes Privacy by Design. I gier eller Privacy Enhancing Technologies. Datatilsynet pegede desuden p behovet for mbudsmand har om SKATs EFIdet er et grundlggende arbejdelse af de pgldende regelst. (PETs). Begrebet dkker generelt alle teknologier, som fremmer privatlivsbskyttelse. Implementering af PETs kan afhjlpe den konkrete tekniske overholdelse af ionen behandlede emnet om bl.a. PETs i deres meddelelse vet (PETs). endvidere i meddelelsen, at der ved hjlp af PETs kan udformes

413

til publikationen privacy and Data Protection by Design from policy to enginerring, som ENISA udgav i 2014udgivelse fra januar 2011 Nsikkerhedsmodeller kan anvendes som vejledning. Materialet kan sledes vejlede den egrebet databeskyttelse gennem design

415414

erensstemmelse med den engelske sprogversion, hvor der str state of the artDet aktuelle niveaudet hjest mulige niveau

415

rede eksisterende systemer, jf. ordlyden i artikel 25, stk. 2: tidspunktet for fastlggelse og tidspunktet for selve behandlingen. Andre bestemmelser ssom artikel 32 om behan i denne forordning.

417416

(PETs) vlge at angive i kravspecifikationen, hvilke PETs der ku

417

kan forsts som vrn eller beskyttelse.

419418

flere oplysninger, end ndvendigt for at opn formlet med appen.

419

421420

til allerede fra dag 1, begrebet den dataansvarlige i persondatalovens 3, nr. 4, at dette kan vr

421

Sagen om FDB og Coop Danmark A/S medlemsprogram, Datatgruppen udtalelse nr. 169/2010 om begreberne registeransvarlig og registerfrer (WP), s. gruppens udtalelse nr. 169/2010 om begreberne registeransvarlig og registerfrer (WP), s. Sagen om FDB og Coop Danmark A/S medlemsprogram, Datatilsynets j.nr. 2007gruppens udtalelse nr. 169/2010 om begreberne registeransvarlig og registerfrer (WP), s.

423422

425424

I henhold til definitionen af begrebet reprsentant i forordningens artikel 4, nr. 17, kan

427426

des begrebet registerfrer i stedet for en databehandler. Det flger imidlertid af bemr gruppens udtalelse om henholdsvis registerfrer og registeansvarlig opstilles to grundlggende betingelser for, om der er tale om en databehan

gruppens udtalelse nr. 1/2010 om begreberne registeransvarlig og regsterfrer, (WP 169), s. 25.

429428

gruppens udtalelse nr. 1/2010 om begreberne registeransvarlig og regsterfrer, (WP 169), s. 25.om begreberne registeransvarlig og regsterfrer, (WP 169), s. 26.

429

431430

gruppens udtalelse nr. 1/2010 om begreberne registeransvarlig og regsterfrer, (WP 169), s. 26

431

gruppen anbefaler i deres udtalelse om begreberne registeransvarlig og regsterfrer, at man som dataansvarlig br undg en kde af databehandlere og underdgruppens udtalelse om 1/2010 om begreberne registeransvarlig og registerfrer, (WP 169),

433432

gruppens udtalelse nr. 1/2010 om begreberne registeransvarlig og registerfrer, (WP 169),

433

435434

Konsekvensen heraf vil vre, at denne nye dataansvarlige

437436

439438

, m det betyde, at der med en anden revisor

439

441440

forordningens risikobaserede tilgang og fokus p ansvarlighed (accountability).

441

443442

445444

447446

449448

Den rde trd i forordningen om ansvarlighed (acountability)

449

451450

453452

hed og undtagelsen hertil i artikel 56, stk. 2. Oplysninger om, at der er tale om et betydntal personer i andre medlemsstater kan endvidere vre ndvendig for tilsynsmy

453

455454

457456

fordi den byrde.

459458

kel 30 er ikke tiltnkt som en belastning for den dataansvarlige eller databehandleren og

Eksempel p en fortegnelse - Dataansvarlig Eksempel p en fortegnelse over behandlingsaktiviteter vedrrende HR Dataansvarlig Myndighe-

dens/virksomhedens navn, CVR-nr. og kontaktoplys-ninger (adresse, hjemmeside, tele-fonnummer og e-mail)

Kbenhavns Kommune konomifor-valtningen Rdhuset 1599 Kbenhavn V CVR:

Den flles dataansvarlige samt dennes kontaktop-lysninger (adresse, hjemmeside, tele-fonnummer og e-mail)

-

Den dataansvarliges re-prsentant samt dennes kontaktoplysninger (adresse, hjemmeside, tele-fonnummer og e-mail) (Offentlige myndigheder er ikke omfattet, jf. artikel 27, stk. 2, litra b)

.

Myndighe-dens/virksomhedens data-beskyttelsesrdgiver samt

DPO, Anders Andersen Kongestien XXX, 1111 Kongsted www.hjemmeside.dk

459

dennes kontaktoplysnin-ger (adresse, hjemmeside, tele-fonnummer og e-mail)

+ 45 88 88 88 88 [email protected]

Forml (-ene) Behandlingens eller be-handlingernes forml (et samlet, logisk sammen-hngende forml med en behandling eller en rkke af behandlinger, som hermed angives som t forml ud af alle samlede forml hos den dataansvarlige)

Personaleadministration

Kategorierne af registre-rede og kategorierne af personoplysningerne

Kategori af registrerede personer (eksempelvis borger/kunder, partsreprsentanter nuv-rende eller tidligere ansatte, andre virksomheder, andre myndigheder mv.)

Der behandles oplysninger om flgen-de kategorier af registrerede personer:

a) Ansgere b) Ansatte c) Tidligere ansatte d) Prrende e) Borger der henvender sig til

Kbenhavns Kommune f) Politikere

Oplysninger, som behand-

les om de registrerede per-soner (afkryds og beskriv de typer af oplysninger, som er om-fattet af behandlingsaktivite-terne)

Oplysninger, som indgr i den specifikke behandling. Beskriv:

Identifikationsoplysninger X Oplysninger vedrrende ansttelsesforholdet til brug for administration, herunder stilling og tjene-stested, lnforhold, oplys-ninger af relevans for ln-indeholdelse, personalepa-pirer, uddannelse og syge-fravr.

X

Race eller etnisk oprindel-se

Politisk, religis eller filo-

461460

sofisk overbevisning Fagforeningsmssigt til-hrsforhold

X

Helbredsoplysninger her-under genetisk data

X

Biometrisk data med hen-blik p identifikation

X

Seksuelle forhold Strafbare forhold X

Modtagerne af person-oplysningerne

Kategorier af modtagere som oplysninger er eller vil blive videregivet til herunder modtagere i tredjelande og internatio-nale organisationer (eksempelvis andre myndig-heder, virksomheder, bor-ger/kunder mv.)

1. Offentlige myndigheder (s vidt mu-ligt myndighedens navn, f.eks. SKAT)

2. Banker 3. Kreditbureauer

Tredjelande og interna-tionale organisationer

Oplysninger om overfrel-se af personoplysninger til tredjelande eller internati-onale organisationer (eksempelvis databehandle-res placering i tredjelande, databehandlers brug af cloudlsninger placeret i tredjelande)

Nej (Angivelse af virksom-hed/samarbejdspartner, hvis denne er placeret i tredjeland)

Sletning Tidspunkt for sletning af oplysninger (de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger)

461

Tekniske og organisato-riske sikkerhedsforan-staltninger

Beskrivelse af tekniske og organisatoriske sikker-hedsforanstaltninger (hvis muligt skal der gives en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, jf. artikel 32, stk. 1)

Behandling af personoplysninger i forbindelse med HR-arbejde sker i overensstemmelse med interne ret-ningslinjer, som bl.a. faststter ram-merne for autorisation- og adgangssty-ring og logning. Personoplysninger opbevares i pseu-donymiseret og i kryptret form og transmitteres krypteret. Fysisk materiale opbevares aflst. Der anvendes flgende sikkerheds-standarder: ISOXXXXX.

463462

tabehandlere, der udgr et foretagende eller en organisation. Dermed m det antages, at f.eks. privatpersoner (eksempelvis en blogger), der behandler

463

465464

vendes, og hvilke underdatabehandlere der benyttes samt hvilke dataansvarlige behan

467466

Det m forventes, at samarbejde eventuelt under anvendelse af undersgelsesbefjelsene i artikel 58 vil komme p tale i en rkke forskellige situationer.

467

469468

ne til persondataloven indsat i loven for at undg enhver tvivl.

469

471470

Bestemmelsen, der indeholder den skaldte krigsregel, vil ikke blive nrmere genne

473472

svarlig myndighed ikke ved blot at overholde de generelle s om netop bekendtgrelsens 3 anfres, at [e] sikkerhed.

475474

Det fremgr af vejledningen hertil bl.a., at [d] Det fremgr oplysninger over det bne internet, at [d]

475

477476

For s vidt angr det i artikel 32, stk. 1, indeholdte begreb frihedsrettigheder henvises til

479478

481480

er str state of the artDet aktuelle niveaudet hjest mulige niveau

481

483482

Information technology Guidelines

485484

487486

489488

grebet brud p persondatasikkerheden skal iflge bekendtgrelsens 2 forsts

489

491490

493492

brud p persondatasikkerheden for at vre sket i forordningens forstand. En sdan siI vurderingen af, om et brud er sket, m der antages at skulle tages srligt hensyn til, om

495494

Det fremgr endvidere af forordningens artikel 33, stk. 1s ordlyd, at den dataansvarliges

495

grad af sikkerhed herfor. For nrmere om fysiske personers rettigheder eller frihedsretigheder henvises I databeskyttelsesforordningens prambeltragtning 85 omtales denne situation p flgende mde: merlige i overensstemmelse med ansvarlighedsprincippet kan pvise.

497496

punkt, hvor en person er sigtet i artikel 6s forstand. Beskyttelsen efter artikel 6 glder

497

499498

registreringer, men brugen af denne beteg

499

501500

503502

505504

praksis indebrer kravet om

505

507506

Irmatorvet A/S vurderi sendt til Irmatorvet A/Sflgende: Til Irmatorvets kunder.

507

509508

Ved begrebet brud p persondatasikkerheden skal iflge bekendtgrelsens 2 forsts

509

511510

hashe dataene, ikke er kompromitteret af et brud p sikkerheden, og den ngle, der er anvendt til at hashe dataene, er genereret p en sdan mde, at den ikke kan f.eks. en skaldt service provider

513512

registrerede i tilflde af brud p persondatasikerheden. Udtalelsen

513

515514

ordet minimum.

517516

519518

vedrrende databeskyttelse, artikel 35 Hverken databeskyttelsesdirektivet, persondataloven eller sikkerhedsbekendtgrelsen in-deholder krav om konsekvensanalyser eller lister over behandlingsaktiviteter, der krver (eller ikke krver) konsekvensanalyser.614 Datatilsynet har imidlertid i en rkke udtalelser anbefalet, at der udarbejdes konsekvens-analyser.615 Fra Datatilsynets praksis kan nvnes et hringssvar vedrrende ndring af pasloven, som blev afgivet til Justitsministeriet, hvori Datatilsynet opfordrer til, at der gennemfres en skaldt privatlivsimplikationsanalyse (Privacy Impact Assessment eller PIA), hvor alle elementer i lsningen analyseres, og at der br sikres procedure og garantier til beskyttelse af oplysningerne og til imdegelse af risici i forhold til borgernes ret til beskyttelse af personoplysninger og privatliv.616 Digitaliseringsstyrelsen har udarbejdet en vejledning til brug for vurdering af offentlige IT-projekters potentielle konsekvenser for privatlivet617 samt en guide til konsekvensvurde-ring af privatlivsbeskyttelse618. Vejledningerne er udarbejdet til offentlige myndigheder, men kan naturligvis ogs anvendes af private virksomheder.

Vejledning i vurdering af offentlige ITprojekters potentielle konsekvenser for privatlivet udgivet af Guide til konsekvensvurdering af privatlivsbeskyttelse udgivet af Digitaliseringsstyrelsen, maj 2013.

521520

Konsekvensanalyser har sledes ikke tidligere vret reguleret i lovgivningen, men er ble-vet anbefalet af Datatilsynet i specifikke situationer og gennem vejledninger fra Digitalise-ringsstyrelsen. Der er sledes ikke med selve betegnelsen konsekvensanalyse tale om en nyskabelse, da udarbejdelse af konsekvensanalyser har vret anbefalet i praksis. Forordningens artikel 35 indeholder krav om, at der i visse tilflde skal udarbejdes konse-kvensanalyser vedrrende databeskyttelse. Det faststtes generelt i artikel 35, stk. 1, hvornr en dataansvarlig skal foretage en analyse af de ptnkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger. Artikel 35, stk. 3, specificerer nrmere de tilflde, hvor en konsekvensanalyse navnlig er pkrvet. Artikel 35, stk. 7, faststter, hvad en konsekvensanalyse mindst skal omfatte. Endelig faststter artikel 35, stk. 11, hvornr det er ndvendigt at foretage en fornyet kon-sekvensanalyse. 5.13.3.1. Databeskyttelsesforordningens artikel 35, stk. 1 Det fremgr af artikel 35, stk. 1, at hvis en type behandling, navnlig ved brug af nye tekno-logier og i medfr af sin karakter, omfang, sammenhng og forml, sandsynligvis vil in-debre en hj risiko for fysiske personers rettigheder og frihedsrettigheder, foretager den dataansvarlige forud for behandlingen en analyse af de ptnkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger. En enkelt analyse kan omfatte flere lignende behandlingsaktiviteter, der indebrer lignende hje risici. Det flger af prambelbetragtning nr. 84, at for at fremme overholdelse af denne forord-ning br den dataansvarlige, hvor behandlingsaktiviteter sandsynligvis indebrer en hj risiko for fysiske personers rettigheder og frihedsrettigheder, have ansvaret for at foretage en konsekvensanalyse vedrrende databeskyttelse for navnlig at vurdere denne risikos op-rindelse, karakter, sregenhed og alvor. Resultatet af analysen br tages i betragtning, nr der skal trffes passende foranstaltninger med henblik p at pvise, at behandlingen af personoplysningerne overholder denne forordning. Hvis det fremgr af en konsekvensana-lyse vedrrende databeskyttelse, at behandlingsaktiviteter indebrer en hj risiko, som den dataansvarlige ikke kan begrnse ved passende foranstaltninger med hensyn til tilgngelig teknologi og gennemfrelsesomkostninger, br tilsynsmyndigheden hres forud for be-handlingen.

521

Det flger endvidere af prambelbetragtning nr. 89, at der ved databeskyttelsesdirektivet blev fastsat en generel forpligtelse til at anmelde behandlingen af personoplysninger til tilsynsmyndighederne. Denne forpligtelse medfrte en administrativ og finansiel byrde, men den bidrog ikke i alle tilflde til at forbedre beskyttelsen af personoplysninger. En sdan vilkrlig og generel anmeldelsespligt br derfor afskaffes og erstattes med effektive procedurer og mekanismer, som i stedet fokuserer p de typer behandlingsaktiviteter, der sandsynligvis vil indebre en hj risiko for fysiske personers rettigheder og frihedsrettig-heder i medfr af deres karakter, omfang, sammenhng og forml. Sdanne typer behand-lingsaktiviteter kan vre aktiviteter, der navnlig indebrer brug af ny teknologi, eller akti-viteter, som er af en ny slags, og hvor den dataansvarlige endnu ikke har foretaget en kon-sekvensanalyse vedrrende databeskyttelse, eller hvor de er blevet ndvendige p grund af den tid, der er get siden den oprindelige behandling. I forlngelse heraf flger det af prambelbetragtning nr. 90, at den dataansvarlige i sdan-ne tilflde inden behandlingen br foretage en konsekvensanalyse vedrrende databeskyt-telse med henblik p at vurdere den hje risikos specifikke sandsynlighed og alvor under hensyntagen til behandlingens karakter, omfang, sammenhng og forml samt risikokil-derne. Konsekvensanalysen br navnlig omfatte de foranstaltninger, garantier og meka-nismer, der er planlagt til begrnsning af denne risiko, til sikring af beskyttelsen af per-sonoplysninger og pvisning af overholdelse af denne forordning. Endelig flger det af prambelbetragtning nr. 93, at medlemsstaterne i forbindelse med vedtagelsen af national lovgivning i medlemsstaterne, der udgr grundlaget for en offentlig myndigheds eller et offentligt organs udfrelse af opgaver, og som regulerer den eller de pgldende specifikke behandlingsaktiviteter, kan vurdere, at en sdan analyse skal fore-tages inden behandlingsaktiviteterne. Som det fremgr af artikel 35, stk. 1, kan det navnlig vre relevant at vurdere behovet for en konsekvensanalyse, hvis der er tale om en type behandling, som indebrer brug af nye teknologier. Nye teknologier kan eksempelvis vre brugen af biometriske data, herunder anvendelse af iris-scanning, eller af kunstig intelligens, men ogs adgangen til eksempelvis at kommu-nikere med det offentlige via apps p mobile enheder eller brug af elektroniske identiteter. Med ny teknologi skal der vre tale om objektivt set ny teknologi. Det forhold, at der for den dataansvarlige konkret er tale om ny teknologi i form af eksempelvis skift af IT-platform, kan ikke i sig selv vre afgrende for, at der skal udarbejdes en konsekvensana-

523522

lyse, hvis ikke der derved vurderes at vre en hj risiko for fysiske personers rettigheder og frihedsrettigheder. Kategorien af personoplysninger skal ses i sammenhng med den valgte behandlingsakti-vitet. Eksempelvis br der, inden behandlingen pbegyndes udarbejdes en konsekvensana-lyse, hvis der er tale om en behandlingsaktivitet, som bruger en ny teknologi, der skal be-handle en eller flere forskellige personoplysninger, som er reguleret i artikel 9. Et eksem-pel p anvendelse af ny teknologi kan vre, nr kunstig intelligens anvendes til at diagno-sticere patienter og efterflgende anbefale en behandling. Det er imidlertid ikke et krav, at der skal vre tale om brug af nye teknologier. Der br derfor ogs, i de tilflde, hvor der ikke gres brug af nye teknologier, konkret tages stilling til, om en behandling sandsynligvis vil indebre en hj risiko. Det flger af artikel 35, stk. 1, at der alene skal foretages en konsekvensanalyse, nr der sandsynligvis vil vre hj risiko for fysiske personers rettigheder og frihedsrettigheder. Dette m antageligvis indebre, at Om risikovurdering fremgr det af bl.a. prambelbetragtning nr. 75, at risiciene for fysiske personers rettigheder og frihedsrettigheder, af varierende sandsynlighed og alvor, kan opst som flge af behandling af personoplysninger, hvis de registrerede kan blive bervet deres rettigheder og frihedsrettigheder eller forhindret i at udve kontrol med deres personoplys-ninger; hvis der behandles personoplysninger, der viser race eller etnisk oprindelse, poli-tisk, religis eller filosofisk overbevisning, fagforeningsmssigt tilhrsforhold, og behand-ling af genetiske data, helbredsoplysninger eller oplysninger om seksuelle forhold eller straffedomme og lovovertrdelser eller tilknyttede sikkerhedsforanstaltninger; hvis per-sonlige forhold evalueres, navnlig analyse eller forudsigelse af forhold vedrrende indsats p arbejdspladsen, konomisk situation, helbred, personlige prferencer eller interesser, plidelighed eller adfrd eller geografisk position eller bevgelser, med henblik p at op-rette eller anvende personlige profiler; hvis der behandles personoplysninger om srbare fysiske personer, navnlig brn; eller hvis behandlingen omfatter en stor mngde personop-lysninger og berrer et stort antal registrerede. Af prambelbetragtning nr. 76 fremgr det endvidere, at risikoens sandsynlighed og alvor for s vidt angr den registreredes rettigheder og frihedsrettigheder br bestemmes med henvisning til behandlingens karakter, omfang, sammenhng og forml. Risikoen br eva-

523

lueres p grundlag af en objektiv vurdering, hvorved det fastsls, om databehandlingsakti-viteter indebrer en risiko eller en hj risiko. Den dataansvarlige skal i forbindelse med udarbejdelsen af en konsekvensanalyse inddrage de ptnkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger. Det br eksempelvis vurderes, hvilke konsekvenser et brud p persondatasikkerheden vil kunne medfre i forhold til den valgte behandlingsaktivitet. Mngden af data skal ogs vurderes i forhold til den valgte behandlingsaktivitet og indg i vurderingen af, om en identificeret risiko m karakteriseres som vrende hj. Det fremgr af forordningens artikel 35, stk. 1, 2. pkt., at en enkelt analyse kan omfatte flere lignende behandlingsaktiviteter, der indebrer lignende hje risici. Det fremgr af prambelbetragtning nr. 92, at der kan vre tilflde, hvor det kan vre rimeligt og konomisk at foretage en konsekvensanalyse vedrrende databeskyttelse, som omfatter mere end t enkelt projekt, f.eks. hvis offentlige myndigheder eller organer har planer om at indfre en flles applikation eller behandlingsplatform, eller hvis flere data-ansvarlige planlgger at indfre en flles applikation eller behandlingsplatform p tvrs af en industrisektor eller et industrisegment eller for en udbredt horisontal aktivitet. Artikel 35, stk. 1, 2. pkt., m antageligvis betyde, at det kan vre tilstrkkeligt at udarbej-de en konsekvensanalyse for flere lignede behandlingsaktiviteter, uanset strrelsen af den samlede mngde af data, som behandlingsaktiviteterne omfatter. Endvidere m det betyde, at flere dataansvarlige kan foretage en flles konsekvensanalyse vedrrende databeskyttelse (dog sledes, at de hver isr har ansvaret herfor), forudsat at der er tale om samme type system, den samme behandlingsaktivitet af de samme personop-lysninger, samt at det indebrer lignende hje risici. Det vil eksempelvis vre tilstrkkeligt for flere kommuner at udarbejde n konsekvens-analyse vedrrende databeskyttelse i det samme system (som leveres af samme leveran-dr), hvis systemet behandler de samme typer af personoplysninger og behandlingsaktivi-teterne indebrer samme hje risici. Det er de dataansvarlige, der konkret vurderer, hvorvidt systemerne og behandlingsaktivi-teterne er identiske, herunder gennem en vurdering af indkbstidspunkt af varierende sy-stem-versioner, leverandr mv. Sfremt systemerne vurderes ikke at vre identiske eller tilnrmelsesvis identiske, skal de dataansvarlige som udgangspunkt foretage en selvstn-

525524

dig konsekvensanalyse. Det afgrende er sledes ikke, at der er fuld identitet, men at sy-stemet og data ikke afviger vsentligt fra hinanden. Et eksempel p, at der ikke foreligger den forndne identitet mellem flere systemer er den situation hvor en dataansvarlig foretager et tilkb til et system. Et sdan tilkb vil umid-delbart ikke vre omfattet af en generel konsekvensanalyse for det pgldende system. 5.13.3.2. Databeskyttelsesforordningens artikel 35, stk. 2 Det fremgr af forordningens artikel 35, stk. 2, at den dataansvarlige rdfrer sig med da-tabeskyttelsesrdgiveren, hvis en sdan er udpeget, nr der foretages en konsekvensanalyse vedrrende databeskyttelse. Denne bestemmelse har en naturlig sammenhng med Det flger endvidere af prambelbetragtning nr. 95, at databehandleren br bist den data-ansvarlige, nr det er ndvendigt og efter anmodning, med at sikre overholdelse af de for-pligtelser, der udspringer af konsekvensanalyser vedrrende databeskyttelse og forudgen-de hring af tilsynsmyndigheden. 5.13.3.3. Databeskyttelsesforordningens artikel 35, stk. 3 Det fremgr af artikel 35, stk. 3, at en konsekvensanalyse vedrrende databeskyttelse, navnlig er pkrvet i flgende tilflde: a) en systematisk og omfattende vurdering af personlige forhold vedrrende fysiske perso-ner, der er baseret p automatisk behandling, herunder profilering, og som er grundlag for afgrelser, der har retsvirkning for den fysiske person eller p tilsvarende vis betydeligt pvirker den fysiske person b) behandling i stort omfang af srlige kategorier af personoplysninger, jf. artikel 9, stk. 1, eller af personoplysninger vedrrende straffedomme og lovovertrdelser, jf. artikel 10, eller c) systematisk overvgning af et offentligt tilgngeligt omrde i stort omfang. Det fremgr bl.a. af prambelbetragtning nr. 91, at [det isr vil vre relevant inden be-handlingen at foretage en konsekvensanalyse] i forbindelse med omfattende behandlings-

525

aktiviteter til behandling af meget store mngder personoplysninger p regionalt, nationalt eller overnationalt plan, der kan berre mange registrerede, og som sandsynligvis vil inde-bre en hj risiko, f.eks. p grund af behandlingsaktiviteternes flsomhed, hvis der i over-ensstemmelse med det opnede niveau af teknologisk viden sker omfattende brug af ny eller innovativ brug af teknologi, samt i forbindelse med andre behandlingsaktiviteter, der indebrer en hj risiko for registreredes rettigheder og frihedsrettigheder, navnlig hvis disse aktiviteter gr det vanskeligere for registrerede at udve deres rettigheder. I denne forbindelse m regionalt forsts sdan, at det dkker over behandlingsaktiviteter i dele af Danmark, at nationalt dkker over behandlingsaktiviteter i hele Danmark, og at overnationalt dkker over internationale behandlingsaktiviteter, herunder europiske. Det fremgr derudover bl.a. af prambelbetragtning nr. 91, at der ogs br foretages en konsekvensanalyse vedrrende databeskyttelse, hvis personoplysninger behandles med det forml at trffe afgrelser vedrrende specifikke fysiske personer efter en systematisk og omfattende vurdering af personlige forhold vedrrende fysiske personer baseret p profile-ring af disse oplysninger eller efter behandling af srlige kategorier af personoplysninger, biometriske data eller oplysninger om straffedomme og lovovertrdelser eller tilknyttede sikkerhedsforanstaltninger. Endvidere flger det af samme betragtning, at en konsekvensanalyse vedrrende databe-skyttelse ligeledes er pkrvet ved omfattende overvgning af offentligt tilgngelige om-rder, navnlig ved brug af optoelektronisk udstyr, eller ved alle andre aktiviteter, hvor den kompetente tilsynsmyndighed mener, at den pgldende behandling sandsynligvis indeb-rer en hj risiko for registreredes rettigheder og frihedsrettigheder, navnlig fordi den hin-drer registrerede i at udve en rettighed eller gre brug af en tjeneste eller en kontrakt, eller fordi den foretages p systematisk og omfattende vis. Prambelbetragtning nr. 91 angiver endelig, at behandling af personoplysninger ikke br anses for at vre omfattende, hvis der er tale om en lges, sundhedspersonales eller en advokats behandling af personoplysninger om patienter eller klienter. I sdanne tilflde br en konsekvensanalyse vedrrende databeskyttelse ikke vre obligatorisk. Artikel 35, stk. 3, giver sledes en rkke eksempler p, hvornr det navnlig m antages, at en type behandling sandsynligvis vil indebre en hj risiko. Derudover bidrager pram-belbetragtning nr. 91 med en fastlggelse af det omfang en behandling skal have, fr det er pkrvet af foretage en konsekvensanalyse. Eksemplerne i artikel 35, stk. 3, og i pram-belbetragtning nr. 91 kan med brugen af navnlig ikke anses for udtmmende. De angiver

527526

dog en rettesnor for, hvor omfattende, i hvor stort omfang eller hvor systematisk en be-handling skal vre, fr en konsekvensanalyse er pkrvet. Det m antages, at en behandling, der indeholder to eller flere af de elementer, der oplistes i artikel 35, stk. 3, og i prambelbetragtning nr. 75 og 91, i hjere grad vil kunne medfre en hj risiko, der krver udarbejdelse af en konsekvensanalyse efter artikel 35, stk. 1. Det-te m f.eks. antages at vre tilfldet, hvis en behandling bde er systematisk og involverer en ny eller innovativ brug af teknologi. Af artikel 35, stk. 4, fremgr det bl.a., at tilsynsmyndigheden udarbejder og offentliggr en liste over de typer af behandlingsaktiviteter, der er underlagt kravet om konsekvensanalyse vedrrende databeskyttelse i henhold til stk. 1. Af stk. 5 fremgr det bl.a., at tilsynsmyn-digheden ogs kan udarbejde en liste over de typer af behandlingsaktiviteter, for hvilke der ikke krves nogen konsekvensanalyse vedrrende databeskyttelse Det bemrkes endvidere, at en databehandler som flge af kravene til en databehandleraf-tale i medfr af artikel 28, stk. 3, litra f, skal bist den dataansvarlige 5.13.3.4. Databeskyttelsesforordningens artikel 35, stk. 7 Det fremgr af artikel 35, stk. 7, at en konsekvensanalyse mindst skal omfatte: a) en systematisk beskrivelse af de planlagte behandlingsaktiviteter og formlene med be-handlingen, herunder i givet fald de legitime interesser, der forflges af den dataansvarlige, b) en vurdering af, om behandlingsaktiviteterne er ndvendige og str i rimeligt forhold til formlene,

527

c) en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder som om-handlet i stk. 1, og d) de foranstaltninger, der ptnkes for at imdeg disse risici, herunder garantier, sikker-hedsforanstaltninger og mekanismer, som kan sikre beskyttelse af personoplysninger og pvise overholdelse af denne forordning, under hensyntagen til de registreredes og andre berrte personers rettigheder og legitime interesser. Litra a m fortolkes sledes, at der skal ske en systematisk beskrivelse af de forskellige former for behandling, som personoplysningerne vil blive genstand for. Personoplysnin-gerne, som skal behandles, skal ogs vre klart beskrevet og defineret. Dette glder ogs i forhold til oplysninger omfattet af artikel 9 og 10. Endvidere skal en konsekvensanalyse indeholde en beskrivelse af formlet med behandlingen, herunder dataansvarliges legitime interesser. Det kan eksempelvis vre behandling af personoplysninger, som enten har hjemmel i lov, eller som skal ske som led i offentlig myndighedsudvelse. Litra b krver, at der foretages en vurdering af ndvendigheden af de planlagte behandlin-ger, og om de str i rimeligt forhold til formlene med behandlingen. Der er sledes tale om en bestemmelse, som blandt andet har til forml at hindre dataophobning og blandt andet ogs sikre, at der kun behandles personoplysninger, der er ndvendige, og som kan rummes inden for formlene med behandlingen. Behandlingen af personoplysninger m dermed ikke g videre, end hvad der krves for at opfylde de forml, som den dataansvar-lige er berettiget til at forflge. Litra c krver en vurdering af risiciene for de registreredes rettigheder og frihedsrettighe-der, som omhandlet i stk. 1. Det betyder, at de registreredes rettigheder og frihedsrettighe-der skal vurderes i forhold til den planlagte behandling og formlet med denne. Litra d br lses i sammenhng med litra c, sledes at der krves en vurdering af de foranstaltninger, der ptnkes for at imdeg disse risici, herunder garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af personoplysninger og pvise overholdelse af forordningen og dansk lovgivning i vrigt, under hensyntagen til de registreredes og andre berrte personers rettigheder og legitime interesser. Der kan i et vist omfang konstateres sammenfald mellem en rkke af de oplysninger, som skal indg i de fortegnelser over behandlingsaktiviteter, som den dataansvarlige skal fre i medfr af forordningens artikel 30, og det som en konsekvensanalyse mindst skal omfatte i medfr af forordningens artikel 35, stk. 7. Hvis en dataansvarlig forpligtes til at udarbejde en konsekvensanalyse, vil de fortegnelser over behandlingsaktiviteter, som den dataansvar-lige frer, i vidt omfang kunne genanvendes ved udarbejdelsen af konsekvensanalysen.

529528

Der stilles f.eks. bde krav om angivelse af formlene med behandlingen i artikel 30, stk. 2, litra b, og artikel 35, stk. 7, litra a. Derudover vil en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger i medfr af artikel 30. stk. 2, litra g, kunne anvendes i udarbejdelsen af den del af konsekvensanalysen, der bl.a. vedrrer sikkerheds-foranstaltninger, jf. artikel 35, stk. 7, litra d. I forhold til udarbejdelse af konsekvensanalyse vedrrende databeskyttelse, kan der henvi-ses til den internationale standard ISO 29134 omhandlende Privacy Impact Assessment (konsekvensanalyse vedrrende privatliv). Ved at benytte denne standard kan den dataan-svarlige ge sandsynligheden for at afdkke vsentlige elementer i sin databehandling og samtidig f vejledning i processen og rapporteringen. Denne standard kan anvendes af b-de offentlige myndigheder og private virksomheder. 5.13.3.5. Databeskyttelsesforordningens artikel 35, stk. 8 Det flger af artikel 35, stk. 8, at overholdelse af godkendte adfrdskodekser, jf. artikel 40, inddrages behrigt ved vurderingen af konsekvenserne af de behandlingsaktiviteter, der udfres af de pgldende dataansvarlige eller databehandlere, navnlig i forbindelse med en konsekvensanalyse vedrrende databeskyttelse. 5.13.3.6. Databeskyttelsesforordningens artikel 35, stk. 9 Det flger af artikel 35, stk. 9, at den dataansvarlige, hvis det er relevant, indhenter de re-gistreredes eller deres reprsentanters synspunkter vedrrende den planlagte behandling, uden at det berrer beskyttelse af kommercielle eller samfundsmssige interesser eller behandlingsaktiviteternes sikkerhed. Brugen af ordet relevant, jf. ovenfor, indikerer, at der br foretages en konkret vurdering af risiciene for de registrerede, hver gang der skal foretages en behandling. Der er ikke tale om, at der skal foretages en konsultation af de registrerede i forbindelse med alle konse-kvensanalyser, men der skal foretages en konkret vurdering af, om der er anledning til at konsultere de registrerede i forbindelse med udarbejdelsen af konsekvensanalysen. Eksempelvis kan det vre relevant, at den dataansvarlige indhenter de registreredes eller deres reprsentanters synspunkter vedrrende en planlagt behandling i forbindelse med hringsprocessen ved udarbejdelse af lovforslag mv. Bestemmelsen m herudover forventes at f begrnset virkning i praksis.

529

5.13.3.7. Databeskyttelsesforordningens artikel 35, stk. 10 ikke er et krav i artikel 35, at den dataansvarlige udarbejder konkse-kvensanalyse i forhold til allerede eksisterende systemer i forbindelse med forordningens ikrafttrdelse, medmindre risikobilledet efter den 25. maj 2018 for de igangvrende be-handlingsaktiviteter efter en konkret vurdering ndrer sig. Det er i vrigt alene relevant at overveje undtagelsesmuligheden i artikel 35, stk. 10, i det omfang, der ellers er pligt til at udarbejde en konsekvensanalyse efter artikel 35, stk. 1. 5.13.3.8. Databeskyttelsesforordningens artikel 35, stk. 11 Det fremgr af artikel 35, stk. 11, at den dataansvarlige, hvis det er ndvendigt, foretager en fornyet gennemgang for at vurdere, hvorvidt behandling er foretaget i overensstemmel-se med konsekvensanalysen vedrrende databeskyttelse. Dette glder i hvert fald, nr der er en ndring af den risiko, som behandlingsaktiviteterne udgr. Hvis behandlingsaktiviteternes risiko ndres, eller det af anden grund vurderes ndven-digt, skal den dataansvarlige foretage en gennemgang af ndringer med henblik p at vur-dere, hvorvidt behandlingen er foretaget i overensstemmelse med den oprindelige konse-kvensanalyse. Dette skal p baggrund af ordlyden i hvert fald ske i de tilflde, hvor der sker en ndring af den risiko, som behandlingsaktiviteterne udgr. Det m efter bestemmelsen ogs vre pkrvet med en fornyet konsekvensanalyse i andre situationer. Det m eksempelvis skulle vurderes, om der er behov for en fornyet gennem-gang, nr der sker ndringer, som betyder, at formlet med behandlingen ndres. Endvide-

531530

re vil dette skulle ske, hvis behandlingen ndres, sledes at der fremover skal behandles andre personoplysninger end dem, som aktuelt bliver behandlet, herunder hvis der frem-over skal behandles personoplysninger, som er omfattet af en anden kategori af personop-lysninger. Dette kunne eksempelvis vre, hvis et system, der omfatter behandlingsaktivite-ter af personoplysninger efter artikel 9, ndres, sledes at der fremover skal ske behand-ling af personoplysninger omfattet af artikel 10. Derudover kunne det vre tilfldet, hvis et eksisterende system, der behandler oplysninger efter artikel 6, udvides til ogs at be-handle oplysninger efter artikel 9. 5.13.3.9. Tilsynsmyndighedens lister, artikel 35, stk. 4-6

531

Konsekvensanalyser er ikke reguleret i gldende ret, men er blevet anbefalet af Datatilsy-net i specifikke situationer og gennem vejledninger fra Digitaliseringsstyrelsen. Det er derfor en udvidelse af gldende ret, at forordningens artikel 35 i visse tilflde kr-ver udarbejdelse af en konsekvensanalyse med et nrmere bestemt minimumsindhold. Forordningens artikel 35, stk. 1, fastlgger, at den dataansvarlige, i de tilflde, hvor en type behandling sandsynligvis vil indebre en hj risiko for fysiske personers rettigheder og frihedsrettigheder, er forpligtet til at foretage en konsekvensanalyse. Forordningens artikel 35, stk. 3, angiver en ikke udtmmende oplistning af eksempler, hvor en konse-kvensanalyse som omhandlet i stk. 1, navnlig er pkrvet. Det kan ud fra karakteren af med henvisningen til meget store mngder personoplysninger p regieller overnationalt plan Sfremt en konsekvensanalyse er pkrvet, angiver forordningens artikel 35, stk. 7, hvad en sdan analyse mindst skal omfatte.

533532

Endelig flger det af artikel 35, stk. 11, at den dataansvarlige i visse tilflde forpligtes til at foretage en fornyet gennemgang af, om en behandling er foretaget i overensstemmelse med en konsekvensanalyse.

533

535534

537536

539538

fint i trd med forordningens risikobaserede tilgang og fokus p ansvarlighed (accountablity).

539

for, er dog begrnset til behandlingsaktiviteter som led i udfrelse af en opgave i safundets interesse. Som eksempler herp nvner forordningen behandling i forbindelse

541540

navnligansvarlige ikke tilstrkkeligt har identificeret eller begrnset risikoen. Det m imidlertid

541

543542

545544

lysninger, som er ndvendige til CPRs genoprettelse. . ATPs behandling af oplysni Datatilsynet fandt i denne sag, at den behandling af personoplysninger, som ATP og ATPs

545

statens sikkerhed.

547546

el, som nvnt ovenfor,

549548

, hvor det bl.a. fremgr, at former for forretningspraksis kan fremme produktiviteten, vksten og beskftigelsen.Nrvrende temaafsnit om cloud coCloud computing kan defineres som en model for internetbaseret adgang til en delt pulje

549

everandren (i skyen). Ved cloud computing forsts i almindelighed, at visse it herunder personoplysninger.[] lrt kaldes skyen (dvs. i et datacenter hos cloudleverandren). [] udfrer en behandling i persondatalovens og direktivets forstand i form af

551550

553552

af KLs hndtering af personoplysninger i forbindelse med overfrsel Datatilsynet har p denne baggrund umiddelbart ingen indvendinger imod en model,

553

ioner selv vil kunne foretage kontrol. [d]e fleste af disse risici findes inden for to store omrder, kontroloverpersonoplysningerne gennemsigtighed)

555554

Pligt til samarbejde:om personoplysninger, der vedrrer kundens oplysninger. [] partsaudit eller en kopi af auditrapporten med bekrftelse af certificeringen). Uvildig verificering eller certificering via en velrenommeret tredjepart kan vre en tr e.

555

[k]un da vil han kunne vurdere, ligt beskyttelsesniveau i den forstand, hvori udtrykket er anvendt i direktiv 95/46/EF. I nutidens globalisered cloud computingtjenester [f]or at kunne tage globaliseringens udfordri uden smuthuller. Kommissionen foreslr flgende foranstaltninger:[] en styrkelse og

557556

isrcloudcomputingden valgte regulering medfrer ikke et egentligt paradigmeskifte, da den dat i den retlige tekst. [i] forordningen har cloud frst og fremest betydet, at databehandleren har fet sin egen positionBedre afvejning af ansvaret mellem , hvordan udbyderen leverer de bestilte tjenester.

557

[h] 84.

559558

561560

Forstelsen af begrebet er i artikel 37, stk. 1, litra b og litra c, suppleres af . 16/2016 om Guidelines on Data Protection Officers (DPOs)

561

.3.2. Begrebet i et stort omfang i artikel 37, stk. 1, litra b og litra c som i et stort omfang. I pr om Der angives sledes to yderpunkter til, hvad der efter forordningen kan anses for omfatende behandlingsaktiviteter. Herudover m det antages, at der med ordlyden i et stort omfang i artikel 37, stk. 1, litra

563562

vurderingen af, om der er tale om behandling af personoplysninger i et stort omfang, gruppens udtalelse nr. 16/2016 om Guidelines on Data Protection Officers (DPOs)gruppens udtalelse nr. 16/2016 om Guidelines on Data Protection Officers (DPOs)gruppens udtalelse nr. 16/2016 om Guidelines on Data Protection Officers (DPOs)gruppens udtalelse nr. 16/2016 om Guidelines on Data Protection Officers (DPOs)

563

ved , der i vrigt ikke er nrmere defineret i foror sts ved regelmssig og systematisk overvgning efter forordningens artikel 37, stk. 1, gruppens udtalelse om databeskyttelsesrdgivere, at regelm f.eks. m antages at omfatte drift af

gruppens udtalelse nr. 16/2016 om Guidelines on Data Protection Officers (DPOs)gruppens udtalelse nr. 16/2016 om Guidelines on Data Protection Officers (DPOs)

565564

567566

efineret, hvad der udgr en offentlig myndighed eller et offentligt organ.

567

ne og et offentligt organ og dermed omfattet af medlemsstP den baggrund, og da begreberne en offentlig myndighed og et offentligt organ i

569568

er i overensstestrrelse, hvis en flles databeskyttelse

ns udtalelse nr. 16/2016 om Guidelines on Data Protection Officers (DPOs) F.eks. vejledning om god adfrd i det offentlige.

569

571570

gruppens udtalelse nr. 16/2016 om Guidelines on Data Protection Officers (DPOs)

571

573572

Den nrmere fastlggelse af, hvad der skal forsts ved udtrykket , m endvidere skulle ses i lyset af databeskyttelsesrdgiv

573

Det skal sledes sikres, at databeskyttelsesrdgiveren inddrages i

F.eks. vejledning om god adfrd i det offentlige.

575574

577576

Henvisningen med udtrykket disse opgaver

579578

m heller ikke direkte eller indirekte f besked p at komme til et bestemt resultat, nr

579

581580

en inddrages tilstrkkeligt og rettdigt i alle sprgsml om beskyttelse af personoplysninger kan vedkommende dog n sdan rolle ses allerede i flere virksomheder som en compliance officer.

583582

585584

587586

589588

591590

593592

595594

597596

599598

tvunget til at komme med en egentlig negativ udtalelse om et udkast til adfrdskodeks.

599

601600

603602

605604

607606

under forudstning af forndne garantier

609608

611610

Hvordan begrebet certificering skal forsts i databeskyttelsesforordningens forstand vil

611

tabeskyttelsesmrke er alment kendt p tvrs af medlemsstaterne, som f.eks. EUs kol

613612

Hertil kommer, at kendte databeskyttelsesmrker vil kunne vre en stor hjlp for de

613

615614

mrkninger", m dette antages at vre synonymt med kriterierne i artikel 42, stk. 5, da

615

617616

619618

621620

623622

3

625624

Revision af en akkr I artikel 43, stk. stk. 7, omtales foranstaltninger truffet aforganet, og at disse foranstalninger kan overtrde forordningen. Det er ikke nrmere defineret, hvad disse foranstal

625

627626

Documents

Databeskyttelsesforordningen - justitsministeriet.dk · Betænkning om Databeskyttelsesforordningen (2016/679) – og de retlige rammer for dansk lovgivning Del I, bind 1 Betænkning