Databeskyttelse (Persondata)

Der er grundlæggende 4 ting, der skal være på plads, når man behandler personoplysninger:

1. Der skal være et behandlingsgrundlag i medfør af databeskyttelsesforordningens art. 6. For kommunernes vedkommende vil dette altovervejende være væsentlig samfundsinteresse og myndighedsudøvelse, jf. art. 6, stk. 1, litra e. Hvis der er tale om, at kommunen behandler følsomme oplysninger, som er omfattet af forbuddet mod behandling i art. 9, stk. 1, fx helbredsoplysninger, skal den dataansvarlige kunne identificere en undtagelse til forbuddet i art. 9, stk. 2. Derudover skal der ligeledes findes et behandlingsgrundlag i art. 6.
   
   Ifølge art. 6, stk. 2 og 3, skal myndighedsudøvelsen have grundlag i EU-ret eller national ret. Det betyder, at kommunen har et gyldigt behandlingsgrundlag i GDPR, hvis kommunen kan påvise, at den har hjemmel til behandlingen af en given personoplysning i dansk ret eller EU-retten. Der er dermed et samspil mellem forvaltningsretlige regler, sektorlovgivning og databeskyttelsesregler, man skal være opmærksom på.
   
   
2. Uanset om der er et behandlingsgrundlag, jf. pkt. 1, skal behandlingen altid ske inden for rammerne af de grundlæggende principper i databeskyttelsesforordningen, jf. art. 5. Principperne handler om gennemsigtighed og rimelighed, formålsbestemthed, dataminimering, rigtighed, opbevaringsbegrænsning og sikkerhed.
   
   Kravene minder meget om det, vi kender som god forvaltningsskik. I GDPR er principperne dog egentlige juridiske krav, og overtrædelse af art. 5 kan sanktioneres med bøde.
   
   Princippet om formålsbestemthed og formålsbegrænsning er vigtigt at være opmærksom på, når kommunen ønsker at videreanvende data til fx at bygge algoritmer.
3. Personoplysninger skal behandles sikkert, jf. art. 32 med flere. Sikkerhed handler blandt andet om, at uvedkommende ikke må få adgang til personoplysninger (i familie med tavshedspligten) og at oplysningerne skal sikres mod ændringer eller tilintetgørelse. Dette stiller krav både til kommunens IT-afdeling og til sagsbehandlerne. For så vidt angår sagsbehandlerne er det blandt andet vigtigt at være opmærksom på, at man ikke kommer til at sende mails til en forkert modtager, at man ikke sender fortrolige oplysninger med almindelig mail, at man er omhyggelig, når man indscanner dokumenter, så der ikke kommer uvedkommende papirer med uvedkommende personoplysninger med i scannet, at papirer med fortrolige personoplysninger ikke ligger frit fremme, at dokumenter med personoplysninger gemmes i ESDH-systemet evt. med indblikskoder osv.
   
   
4. De registrerede personers rettigheder skal iagttages. Det betyder, at kommunerne af egen drift skal opfylde en oplysningspligt, jf. art. 13 og art. 14, når de indsamler oplysninger om borgerne. Efter anmodning fra borgeren skal kommunerne endvidere give indsigt i de personoplysninger, der behandles om den registrerede, jf. art. 15 (minder om egenacces efter offentlighedsloven), berigtige urigtige oplysninger, jf. art. 16, begrænse behandlingen af den registreredes personoplysninger, jf. art. 18, underrette andre modtagere, hvis kommunen berigtiger eller begrænser behandlingen af en personoplysning, som kommunen har videregivet til den pågældende modtager, jf. art. 19, tage stilling til indsigelser fra borgerne om en ellers lovlig behandling af deres personoplysninger (når den lovlige behandling finder sted som led i myndighedsudøvelse), jf. art. 21. Offentlige myndigheder kan som udgangspunkt ikke slette oplysninger på en borgers anmodning.

Manglende efterlevelse af de 4 ovenstående elementer vil hver for sig udgøre et brud på persondatasikkerheden og kan sanktioneres med bøder.

• Telefonisk sparring på konkrete problemstillinger til kommunens jurister (finansieret af kommunens kontingentbetaling)
• Konsulentbistand mod betaling: Notater og undersøgelser
• Skræddersyede metodebaserede workshopkurser om udveksling af personoplysninger inden for og uden for den kommunale enhedsforvaltning, hvor deltagernes egne spørgsmål udgør de cases, vi øver os på, og hvor samspillet mellem GDPR, forvaltningsretlige regler og sektorlovgivning er i fokus.

1) Behandling af personoplysninger i ansættelsesforhold: Nina og Inge
2) Registreredes rettigheder: Natalia, Jesper og Karin
3) Behandlingshjemler, videreanvendelse: Jesper og Karin
4) Samspil mellem GDPR og forvaltningsretlige regler: Karin og Jesper
4) Dataansvarlige og databehandlere: Pernille og Karin
4) Sikkerhed, risikovurderinger, Tech-giganter: Pernille