Det har været forbavsende småt med nyheder omkring Persondataforordningen/GDPR (General Data Protection Regulation) efter den trådte i kraft 25. maj 2018, men jeg vil her samle op på et par relevante nyheder

• Datatilsynets tilsynsplan
• Skærpet praksis ift. transmission af persondata via e-mail

• Mr. Schrems og noyb.eu

Datatilsynets tilsynsplan

Datatilsynet offentliggjorde 27. juni et antal punkter, der vil blive fokuseret på i de planlagte tilsyn resten af 2018:

• Behandlingsgrundlag og persondatasikkerheden hos private virksomheder
• Sletning af personoplysninger hos private virksomheder
• Anvendelse af databehandlere hos kommunerne
• Persondatasikkerheden i større it-systemer på sundhedsområdet
• Udpegning af databeskyttelsesrådgiver – offentlige myndigheder og en række private virksomheder
• Udarbejdelse af en fortegnelse hos kommunerne
• De registreredes rettigheder efter retshåndhævelsesloven
• Databehandlingsaktiviteter i forhold til en række EU-informationssystemer

Ovenstående er et uddrag fra Datatilsynets egen nyhed om planlagt tilsyn. Læs den fulde tekst på Datatilsynets hjemmeside.

Behandlingsgrundlag

Det retlige grundlag/den saglige begrundelse for overhovedet at være i besiddelse af de pågældende personoplysninger.

Sletning af personoplysninger

Sletning af personoplysninger berører spørgsmål som:

1. hvor længe opbevarer du de pågældende personoplysninger? (relaterer sig også til behandlingsgrundlaget)

2. Hvordan sletter/makulerer du personoplysninger?

3. Kan du dokumentere såvel 1. og 2. som at du sletter persondata rettidigt?

Og mens vi er ved tilsyn, skal du være opmærksom på:

”Datatilsynet kan kræve adgang til lokaler og kan kræve oplysninger udleveret
Datatilsynets personale har uden retskendelse og mod forevisning af legitimation ret til at få adgang til alle lokaler, hvorfra der behandles personoplysninger. Dette betyder i praksis, at Datatilsynet har ret til at inspicere alle dine lokaler, ligesom tilsynet har ret til at inspicere dit databehandlingsudstyr, herunder computere mv.

I forbindelse med et tilsynsbesøg kan Datatilsynet også kræve at få alle de oplysninger, der er nødvendige for at varetage Datatilsynets tilsynsopgaver. Du er således forpligtet til – på Datatilsynet anmodning – at afgive de oplysninger, der er nødvendige for, at Datatilsynet kan gennemføre sit tilsyn.”

Ovenstående er et uddrag fra Datatilsynets side om ”Rettigheder og pligter ved tilsyn”, som kan ses i sin helhed her.

Skærpet praksis i forhold til transmission af persondata via e-mail

”Siden 2008 har det været Datatilsynets praksis, at det alene er en anbefaling – og dermed ikke et krav – at den private sektor anvender kryptering ved transmission af fortrolige og følsomme personoplysninger med e-mail via internettet. Modsat har offentlige myndigheder siden år 2000 skullet anvende kryptering ved transmissionen.

Datatilsynet har imidlertid som følge af databeskyttelsesforordningens risikobaserede tilgang til behandlingssikkerhed og den teknologiske udvikling siden 2007-2008 besluttet at skærpe sin praksis for så vidt angår transmission af fortrolige og følsomme personoplysninger med e-mail via internettet i den private sektor.

Fremadrettet vil det således være Datatilsynets opfattelse, at det normalt vil være en passende sikkerhedsforanstaltning – for både offentlige og private aktører – at anvende kryptering ved transmission af fortrolige og følsomme personoplysninger med e-mail via internettet.

Da ovennævnte praksisændring vil kræve noget tilpasning i den private sektor, har tilsynet besluttet ikke at håndhæve det nye udgangspunkt om kryptering før 1. januar 2019. Den private sektor har således 6 måneder til at indrette sig på den nye praksis.”

Ovenstående er fra Datatilsynets nyhedsarkiv og kan læses i sin helhed her: www.datatilsynet.dk

Følsomme oplysninger

Følsomme oplysninger reguleres i Persondataforordningens Artikel 9 og er oplysninger om:

• Race og etnisk oprindelse
• Politisk overbevisning
• Religiøs eller filosofisk overbevisning
• Fagforeningsmæssige tilhørsforhold
• Genetiske data
• Biometriske data med henblik på entydig identifikation
• Helbredsoplysninger
• Seksuelle forhold eller seksuel orientering

Kun de oplysninger, der er nævnt ovenfor, er følsomme personoplysninger

Fortrolige personoplysninger

Fortrolige personoplysninger defineres af Datatilsynet som:

”Fortrolige oplysninger er en særlig kategori af oplysninger, der ikke nævnes udtrykkeligt i databeskyttelsesreglerne, men hvor særlige beskyttelsesbehov kan have betydning ved anvendelsen af databeskyttelsesreglerne. Fortrolige oplysninger vil endvidere ofte være underlagt særregulering i anden lovgivning. Personnummer (CPR-nummer) er en fortrolig oplysning, der er særskilt reguleret i databeskyttelsesloven.

Det afgørende for om en oplysning skal anses for fortrolig, vil være en vurdering af, om oplysningen efter den almindelige opfattelse i samfundet bør kunne forlanges unddraget offentlighedens kendskab, jf. straffelovens § 152 sammenholdt med forvaltningslovens § 27. Følsomme personoplysninger vil utvivlsomt være fortrolige oplysninger. Omvendt er en fortrolig oplysning ikke altid følsom.

Ikke-følsomme personoplysninger kan i visse situationer være fortrolige. Det gælder efter omstændighederne oplysninger om indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold. Det samme gælder oplysninger om interne familieforhold, herunder for oplysninger om for eksempel selvmordsforsøg og ulykkestilfælde.

Oplysninger, der kan henføres til bestemte personer, og som ikke kan nægtes udleveret efter offentlighedsloven, vil ikke være af fortrolig karakter. Det gælder f.eks. oplysninger af rent objektiv karakter, såsom oplysninger om udstedelse af pas, kørekort, jagttegn osv.”

Mr. Schrems og noyb.eu

Få timer efter GDPR trådte I kraft indgav Maximilian Schrems 4 klager over ”tvunget samtykke” mod Google, Instagram, WhatsApp og Facebook. Maximilian Schrems blev kendt for kampagner mod Facebook for beskyttelse af privatlivets fred. Schrems er også grundlæggeren af NOYB (None Of Your Business).