FORSYNINGSTRÆF 2016- BEHANDLING AF PERSONDATA

Line Markert, advokatEgil Husum, advokat

4. og 11. februar 2016

side 2

− Er persondataretten relevant for forsyningsselskaber?

− Behandler forsyningsselskaber persondata?

− Persondataretten – det nye sort?

PERSONDATARET – HVORFOR NU EGENTLIG DET?

side 3

Persondataloven gælder for behandling af personoplysninger

− ”Personoplysninger”: Alle informationer vedrørende en identificerbar fysisk person (”den registrerede”)

− Information: Omfatter for eksempel e-mails, telefonnumre, CPR-numre, eventuelt IP-adresser m.m. Meget bred definition

− Identificerbar: Informationerne kan fører til identificeringen af en person. Omfatter ikke anonymiserede oplysninger, hvor de personlige oplysningerne er blevet udeladt

− Fysisk person: Ethvert fysisk individ inklusiv for eksempel en enkeltmandsvirksomhed. Adskiller sig fra juridiske personer, som f.eks. et selskab

− Anonymisering ctr. pseudonymisering

HVORFOR ER PERSONDATARETTEN RELEVANT?

side 4

− ”Behandling”: F.eks. indsamling, opbevaring, ændring, videregivelse og sletning

− “Dataansvarlig”: Den, der bestemmer indsamlingens eller behandlingens formål og måde

− ”Databehandler”: Den, der behandler oplysninger på den dataansvarliges vegne

− Enhver behandling af personoplysninger kræver hjemmel

HVORFOR ER PERSONDATARETTEN RELEVANT?

side 5

− Sondring mellem forskellige oplysninger

− Hvad indebærer sondringen?

− Skærpelse af hjemmelskravet

− Anmeldelsespligten

TYPER AF OPLYSNINGER

§ 6: ALMINDELIGE OPLYSNINGER(navn, adresse, telefonnummer, oplysninger

om leverandører eller kreditorer m.m.)

§ 6 + § 11: FORTROLIGE (cpr. nr., privatøkonomi, m.m.)

§ 7-8: FØLSOMME(fysisk/mentalt helbred, som misbrug, race, religion, politiske og fagforeningsmæssige

forhold, strafbare forhold)

side 6

Hjemmelskravet for behandling af personoplysninger kan typisk opfyldes ved:

− Den registreredes udtrykkelige og informerede samtykke

− Opfyldelse af en aftale, som den registrerede er part i

− Gennemførelse af foranstaltninger, som den registrerede har anmodet om

− En berettiget interesse, der ikke overgås af hensynet til den registrerede

− En berettiget interesse er for eksempel hvis en virksomhed bruger en medarbejders billede på virksomhedens intranet til brug for andre kolleger

HJEMMELSKRAVET

side 7

− I forbindelse med deres kunder kan forsyningsselskaber komme til at behandle en række oplysninger, som for eksempel navn, adresse, målernumre, installationsnumre, forbrug og lign.

− Samkøring af personoplysninger i koncernforhold (videregivelse ctr. overladelse).

− Intern (dårlig) omtale af kunder?

− Unødvendige/ikke-relevante oplysninger?

KUNDERNES PERSONDATA (EKSEMPLER)

side 8

− Som led i personaleadministration behandles en række oplysninger om medarbejderne, f.eks. navn, adresse, lønforhold, arbejdsopgaver, tidligere ansættelsesforhold osv.

− Der behandles også en række følsomme oplysninger, som ikke kræver samtykke, f.eks. helbredsforhold, fagforeningstilhørsforhold, bortvisning, væsentlige sociale problemer og i særlige tilfælde kontrolforanstaltninger

− Andre følsomme oplysninger kræver samtykke, f.eks. straffeattester, alkoholbehandlingstilbud osv.

− Da der altid behandles følsomme personoplysninger som led i personaleadministration, SKAL der ske anmeldelse til Datatilsynet

MEDARBEJDERNES PERSONDATA (EKSEMPLER)

side 9

− God databehandlingsskik: Al behandling skal leve op til god skik− Bl.a. formålsbestemthed, proportionalitet, datakvalitet og sletning

− Oplysningspligten: Inden behandling skal den registrerede oplyses om en række forhold

− Indsigt: På begæring skal den registrerede oplyses om en række yderligere forhold

− Indsigelse: Den registrerede har ret til at gøre indsigelse i en række tilfælde

− Datasikkerhed: Den dataansvarlige/databehandleren er ansvarlig for sikkerheden omkring oplysningerne

− Datatilsynet: Den dataansvarlige skal i en række tilfælde anmelde behandlingen til Datatilsynet

KRAV TIL BEHANDLINGEN

side 10

− Der skal være en skriftlig databehandleraftale

− Skal indeholde

− Instruks om behandling

− Kun på vegne af den dataansvarlige

− Forpligtelse om fornødne sikkerhedsforanstaltninger (også ift. underdatabehandlere)

− Tilsyn og kontrol

DATABEHANDLERAFTALER

side 11

En udvidelse af sikkerhedskravene:

− Data protection by design and by default

− Databehandlere

− Kravene til datasikkerhed

− Impact assessment

− Data protection officer

− Codes of conduct

PERSONDATAFORORDNINGEN TRÆDER I KRAFT I 2018

side 12

Forordningen medfører desuden en udvidelse af den registreredes rettigheder:

− En klarere opfyldelse af oplysningspligten

− Right to be forgotten

− Dataportabilitet

Og meget store bøder!!

PERSONDATAFORORDNINGEN

side 13

Line Markert rådgiver myndigheder, virksomheder og institutioner i den offentlige og halvoffentlige sektor om generelle offentlig- og kommunalretlige emner, kommunale selskaber og spørgsmål knyttet til energi- og forsyningsret. Særligt rådgiver hun offentlige myndigheder og offentligt ejede institutioner og virksomheder om offentligretlige emner og spørgsmål knyttet til grænsefladerne mellem offentlig opgavevaretagelse og kommercielle aktiviteter. Line Markert rådgiver endvidere offentlige og private om spørgsmål knyttet til offentlig private samarbejder (OPS, OPP, samlet udbud mv.) - både i forbindelse med de indledende overvejelser om valg af udbuds- og kontraktmodel og gennemførelsen af projektet.

Line Markert

Partner, Attorney

SpecialerEnergiret ＆ forsyningsretOffentlig retOffentlige private samarbejder

Dir: +4533344251Mob: +4552344251E-mail: lma@horten.dk

KarrierePartner (equity), Horten, 2014Partner, Horten, 2011Møderet for landsret, 2008Udstationering, DLA Piper, London, Project & Finance, foråret 2006Advokatbeskikkelse, 2006Advokatfuldmægtig, Horten, 2003Praktikant, Den Danske EU kommission under formandskabet for EU, 2002:

PROFIL | LINE MARKERT

UddannelseCand.jur., Aarhus Universitet, 2003

side 14

Egil Husum rådgiver en lang række offentlige myndigheder og danske og udenlandske virksomheder om persondataretlige spørgsmål og privacy. Rådgivningen vedrører overholdelse af gældende regler (compliance), overvejelser i forbindelse med indførelse af ny teknologi og nye initiativer og kontakt til Datatilsynet og andre offentlige myndigheder i forbindelse med afklaring af ansvar. Egil Husum skriver endvidere artikler om persondataretlige spørgsmål til danske og udenlandske medier.

Egil Husum rådgiver herudover om offentlig ret med særlig fokus på kommunal- og forvaltningsret. Egil Husum har beskæftiget sig med offentligretlige problemstillinger i en lang årrække – både som embedsmand i styrelser, ministerier og kommuner og som ekstern advokat.

Egil Husum

Attorney

SpecialerOffentlig retPersondataretGamingMedia ＆ entertainmentIt-ret ＆ telekommunikation

Dir: +4533344224Mob: +4552344224E-mail: ehu@horten.dk

KarriereCertificeret IT-advokat, 2013Advokat, Horten, 2007Advokatbeskikkelse, 2007Advokatfuldmægtig, Horten, 2005-2007Juridisk Konsulent og souschef, Jura Gentofte Kommune, 2001-2005Souschef, Flygtningenævnets Sekretariat, 2000-2001Jurist, Indenrigsministeriet, 1996-2000Jurist, Udlændingestyrelsen, 1994-1996:

PROFIL | EGIL HUSUM

UddannelseCand.jur., Københavns Universitet, 1993

Horten AdvokatpartnerselskabPhilip Heymans Allé 7DK-2900 Hellerup, Copenhagen

Tel. 3334 4000Fax 3334 4001info@horten.dk horten.dk