Der er nu – på Datatilsynets initiativ – gennemført en ændring af undtagelsesbekendtgørelsen, således at flere områder i den private sektor er fritaget fra anmeldelsespligten.

Ændringerne gælder fra den 15. maj 2012 

Klik her for at se ændringsbekendtgørelsen i Retsinformation 

Datatilsynet udformer informationsmateriale til de berørte sektorer og dataansvarlige. Se oversigten over direkte links nedenfor.

Betingelserne for registrering, videregivelse og anden behandling skal stadig følges

Selv om der ikke gælder en anmeldelsespligt til Datatilsynet, skal persondatalovens regler om, hvornår personoplysninger kan indsamles, registreres mv., fortsat overholdes. 

Det samme gælder regler i relevant lovgivning på de berørte sagsområder.  

Borgernes rettigheder og klageadgang gælder fortsat

Bortfald af anmeldelsespligten ændrer heller ikke på de forpligtelser, som persondataloven pålægger virksomheder og andre dataansvarlige i forhold til personer, som der behandles oplysninger om. Det gælder bl.a. oplysningspligt, indsigtsret og retten til at gøre indsigelse. 

Borgernes adgang til at klage til Datatilsynet over behandling af personoplysninger omfattet af persondataloven er også uændret. Datatilsynet har fortsat også mulighed for at tage sager op af egen drift.

Direkte links til uddybende informationsmateriale 

Finansiel sektor:

Forskningssektor:

• Ansøgninger om tilladelse til overførsel af personoplysninger baseret på Kommissionens standardkontrakter indsendes til tilsynet ved brug af en særlig blanket.
• Blanketten kan enten printes og sendes ved brev eller vedhæftes en e-mail.   
  I blanketten afkrydses bl.a., om der er foretaget konkrete ændringer i forhold til EU-kontrakten.
• Hvis der ikke er foretaget ændringer, skal kontrakten ikke indsendes til tilsynet, og Datatilsynets tilladelse kan forventes meddelt inden for få uger. 

Hvis der er foretaget ændringer, skal kontrakten indsendes til behandling i tilsynet sammen med en oversigt over ændringerne.  

Læs mere her. 

I den anledning udtaler Datatilsynets direktør Janni Christoffersen:

"Vi synes, der er mange gode elementer i udspillet. Men også noget, vi umiddelbart er forbeholdne overfor.

På positivsiden er helt klart, at borgernes retsstilling styrkes med mere åbenhed og større indflydelse.

For virksomheder og organisationer er der større krav om at tage ansvar for databeskyttelse. Der strammes op med nye forpligtelser for at øge fokus på databeskyttelse. Samtidig med at der sker en smidiggørelse og harmonisering af reglerne.

Som datatilsyn får vi styrkede beføjelser - det hilser vi velkommen.

Men vi er umiddelbart noget skeptiske over for valget af en forordning i stedet for et direktiv.

Forordning kan være et godt valg på områder med grænseoverskridende ydelser, men måske ikke som et generelt instrument på alle områder. Der er meget store forskelle landene imellem - historisk og kulturelt betinget. Så her er der brug for en nærmere analyse af, hvad det betyder for danskerne - f.eks. når vi tænker i forhold til den offentlige sektors måde at gøre tingene på.

Med en forordning falder den danske persondatalov helt bort, dvs. også de ganske fornuftige særregler, som vi har haft i Danmark i mange år, og som ikke har givet anledning til problemer. Samtidig giver forslaget mere magt til EU-kommissionen og til et "overdatatilsyn" på EU-niveau.

Og sidst men ikke mindst. Det nuværende regelsæt beskyldes for at være svært at forstå - og det problem bliver desværre ikke mindre i det nye. Det er ikke en pixibog!"

Yderligere oplysninger

Udspillet til nyt retsgrundlag består af to forslag:

• et forslag til en forordning fra Europa-parlamentet og Rådet vedrørende beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, og
• et forslag til et direktiv fra Europa-parlamentet og Rådet vedrørende beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger af kompetente myndigheder med henblik på at forebygge, efterforske, afsløre eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger ("det gamle 3. søjle-område").

I forslagene lægges der på en række områder op til store forandringer i forhold til det gældende direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger - det direktiv, som persondatalovens er bygget på. Bl.a. er der tale om en forordning, dvs. den vil være umiddelbart gældende i medlemsstaterne.

Læs forslagene på EU-Kommissionens hjemmeside:

http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm

Læs mere om udspillet på følgende hjemmeside:

http://ec.europa.eu/justice/data-protection/minisite/

På konferencen vil Europa-Kommissionen fortælle om sit udspil til den fremtidige EU-lovgivning om behandling og beskyttelse af personoplysninger. Regler der - når de er forhandlet på plads og vedtaget - vil komme til at erstatte den danske persondatalov.

Datatilsynets direktør Janni Christoffersen er blandt talerne på konferencen.

Læs mere om de øvrige indlægsholdere og paneldebatten på konferencens hjemmeside: www.databeskyttelsesdagen.dk 

Facebooks svar er offentliggjort på det norske datatilsyns hjemmeside.

I Datatilsynet forventer vi, at den indhøstede viden kan bruges i vores daglige administration. Ikke mindst i forhold til vores rådgivning af brugerne, hvor vi fortsat behandler mange henvendelser fra danskerne om Facebook. Derudover kan der evt. opstå snitflader i forhold til de danske virksomheder mv., som bruger Facebook.

Vi vil derfor fortsat følge med i udviklingen omkring Facebook og søge forholdene belyst. I forlængelse af Facebooks skriftlige besvarelse er der lagt op til yderligere dialog mellem datatilsynene og Facebook.

Datatilsynenes undersøgelse har karakter af ”fact finding”. De nordiske datatilsyn har nemlig ikke egentlig tilsynskompetence med Facebook, som i dag er etableret i Irland og underlagt den irske databeskyttelseslovgivning.

Klik her for at læse Facebooks svar
Klik her for at læse Datatilsynets nyhed om spørgsmålene

Kontaktpersoner for yderligere oplysninger:
Kontorchef Lena Andersen, tlf. 4079 8998 (journalister)
Fuldmægtig Iben Segel Larsen, tlf. 3319 3216

Beretningen indeholder en beskrivelse af Datatilsynets virksomhed i 2010, herunder omtale af enkelte af tilsynets udtalelser om lovforslag mv., tilsynets internationale arbejde, sikkerhedsspørgsmål og inspektionsvirksomhed.

Årsberetningen kan købes via www.schultzboghandel.dk.

Den kan også læses/udskrives på Datatilsynets hjemmeside.

Læs/udskriv årsberetningen for 2010

”Vi har et generelt indtryk af, at Facebook gerne vil give oplysninger til os som datatilsyn, og vi ser derfor frem til at få flere oplysninger om deres brug af personoplysninger. Det er vigtigt at få åbenhed om brugen af data, for på internet sker der ofte dataindsamling i det skjulte, uden at vi som almindelige brugere kan se det.” siger kontorchef Lena Andersen i Datatilsynet

Yderligere oplysninger

De nordiske datatilsyns fælles spørgsmål er sammenfattet af det norske datatilsyn, som har sendt en samlet høring til Facebook. Datatilsynene ønsker svar inden udgangen af august.

Tidligere i år har det norske datatilsyn desuden udformet en rapport ”Social network services and privacy” med særlig fokus på Facebook, som har været brugt i arbejdet. Materialet er tilgængeligt på det norske datatilsyns hjemmeside.

Læs spørgsmålene, som de nordiske lande har sendt Facebook (pdf) 

Læs det norske datatilsyns rapport om Facebook (pdf)

De nordiske datatilsyns fælles spørgsmål omfatter bl.a. hvilke grundoplysninger Facebook indsamler og deler med andre virksomheder i direkte idenficerbar form. F.eks. oplysninger som navne og adresser.

Datatilsynene stiller også spørgsmål om indsamling og deling af oplysninger, som er ”indirekte identificerbare”. Altså hvor navn og lignende oplysninger, som direkte identificerer personen, ikke indgår, men det alligevel er oplysninger om en specifik person.

Der bliver også spurgt til indsamling og deling af personoplysninger baseret på bl.a cookies og IP-adresser. Med andre ord den usynlige dataindsamling, der kan ske, når vi er inde på Facebook eller en anden webside. F.eks. hvis der er indsat Facebook funktioner som en ”synes-om-knap”. Der vil datatilsynene gerne vide, om Facebook eller de eksterne sider fortæller de besøgende om dataindsamlingen og får brugernes accept.

Undersøgelsen har karakter af ”fact finding”. De nordiske datatilsyn har nemlig ikke egentlig tilsynskompetence med Facebook, som i dag er etableret i Irland og underlagt den irske databeskyttelseslovgivning. Den irske databeskyttelseslov bygger ligesom den danske persondatalov på EU’s databeskyttelsesdirektiv. Ligesom i Danmark er der i Irland en datatilsynsmyndighed benævnt Data Protection Commissioner

Selv om den formelle tilsynskompetence ligger i det irske datatilsyn, behandler det danske  datatilsyn fortsat henvendelser fra danske borgere om problemstillinger vedrørende Facebook.   Som oftest kan disse hjælpes videre med rådgivning om, hvordan de kan rette henvendelse til Facebook om deres problem. Datatilsynet har også fortsat mulighed for at kontakte Facebook direkte.

Datatilsynet har tidligere i år beskrevet dette i et bidrag til Folketinget. Deraf fremgår også, at hvis der er tale om en mere principiel problemstilling vedrørende Facebook, vil Datatilsynet formentlig finde det mere hensigtsmæssigt at kontakte det irske datatilsyn, som tilsynet har et udmærket samarbejde med, eller tage spørgsmålet op i den såkaldte Artikel 29-gruppe.

Ud over navne og personnumre mv. indeholder løsningen bl.a. oplysninger om køreprøver, herunder ikke-beståede og beståede prøver. Løsningen rummer behandling af fortrolige personoplysninger og er omfattet af anmeldelsespligten til Datatilsynet, og sikkerhedskravene i sikkerhedsbekendtgørelsens  kapitel 1-3 finder anvendelse.

Datatilsynet har besluttet at undersøge sagen af egen drift. Tilsynet har anmodet KL om at redegøre for bl.a.:

Dataansvaret for beslutningen, hvorfor anmeldelsen til Datatilsynet ikke er ajourført med den nye databehandler, hvilke fysiske lokationer personoplysninger har været behandlet på (herunder om der har været tale om lokationer uden for EU), omfanget af sikkerhedsbristen (herunder har Datatilsynet anmodet om at der sker gennemgang af loggen), hvilken databehandleraftale der blev indgået, hvordan det er sikret, at alle personoplysninger nu er effektivt slettet hos Microsoft, samt KL's eventuelle underretning af de berørte personer om sikkerhedsbristen.

Klik her for at se Datatilsynets brev af 15. april 2011 til KL