Nye fritagelser fra anmeldelsespligten i den private sektor/Forenklet procedure for tredjelandsoverførsel baseret på EU-standardkontrakter/Datatilsynets udtalelse om behandling af personoplysninger i cloud-løsningen Office 365

Dato 18 jun. 2012
Download PDF version PDF

 

Denne gang handler MWBe Updated - Persondataret om nye fritagelser fra anmeldelsespligten i den private sektor, forenklet procedure for tredjelandsoverførsel baseret på EU standardkontrakter og Datatilsynets udtalelse om behandling af personoplysninger i cloud-løsningen Office 365

 

Nye fritagelser fra anmeldelsespligten i den private sektor

Det følger af Persondataloven, at en dataansvarlig skal foretage anmeldelse til Datatilsynet, forinden behandling af oplysninger foretages for en privat dataansvarlig. Visse behandlinger er dog undtaget fra anmeldelsespligten. Med virkning fra 15. maj 2012 er yderligere områder blevet undtaget fra anmeldelsespligten.

 

Hvilke områder er nu også undtaget?


  • Visse behandlinger fortaget af virksomheder omfattet af lov om finansiel virksomhed
  • Håndtering af følsomme personoplysninger i sundhedsvidenskabelige forskningsprojekter
  • Behandling af personoplysninger, som foretages af virksomheder mv., der driver kontaktbureauer og hjemmesider om dating
  • Visse behandlinger inden for medicinal- og medico-industrien mv., f.eks. kliniske forsøg med lægemidler
  • Studerendes indsamling og registrering af følsomme personoplysninger i forbindelse med deres projekt- og specialeskrivning mv.

Betingelserne for registrering, videregivelse og anden behandling skal stadig følges

De materielle behandlingsregler i Persondataloven og øvrige regler gælder fortsat i forhold til de konkrete databehandlinger. Betingelserne for behandling af personoplysninger skal således følges, uanset om behandlingen skal anmeldes til Datatilsynet eller ej.

Borgernes rettigheder og klageadgang gælder fortsat

Ændringen af anmeldelsespligten ændrer ikke på de forpligtelser, som Persondataloven pålægger i forhold til de registrerede personers rettigheder. Det gælder bl.a. oplysningspligt, indsigtsret og retten til at gøre indsigelse. Borgernes adgang til at klage til Datatilsynet over behandling af personoplysninger omfattet af Persondataloven og Datatilsynets mulighed for at tage sager op af egen drift gælder ligeledes.

 

Vores vurdering
Mens Persondatalovens materielle regler stadig skal overholdes ved behandlingen af personoplysningerne, vil de yderligere undtagelser til anmeldelsespligten dog lette hverdagen for virksomheder mfl. inden for de nævnte områder.

Forenklet procedure for tredjelandsoverførsel baseret på EU-standardkontrakter

Indtil nu har proceduren for tilladelse til overførsel af visse typer af personoplysninger til tredjelande (dvs. til såkaldte ”ikke-sikre” lande uden for EU/EØS) fungeret på den måde, at virksomheden skulle indsende en kontrakt til Datatilsynet, hvilket ofte kunne medføre en sagsbehandlingstid på flere måneder.

For at lette proceduren ved tredjelandsoverførsler baseret på EU standardkontrakter har Datatilsynet derfor ændret proceduren:

  • Ansøgninger om tilladelse til overførsel af personoplysninger baseret på Kommissionens standardkontrakter indsendes (printes og sendes pr. brev eller vedhæftes en e-mail) til tilsynet ved brug af en særlig blanket.
  • I blanketten afkrydses bl.a., om der er foretaget konkrete ændringer i forhold til EU-kontrakten.
  • Hvis der ikke er foretaget ændringer, skal selve kontrakten ikke indsendes til Datatilsynet, og Datatilsynets tilladelse kan forventes meddelt inden for få uger.

Vores vurdering

Den nye procedure forventes at forkorte sagsbehandlingstiden væsentligt, og det vil kun være i tilfælde, hvor der er foretaget ændringer, at kontrakten skal indsendes til Datatilsynet sammen med en oversigt over ændringerne.



Datatilsynets udtalelse om behandling af personoplysninger i cloud-løsningen Office 365

Datatilsynet har offentliggjort en vejledende udtalelse om behandling af personoplysninger i cloud-løsningen Microsoft Office 365.

 

Udtalelsen åbner op for, at cloud-løsningen som udgangspunkt ikke er i strid med persondatareglerne, når aftalen mellem den dataansvarlige virksomhed (kunden) og den databehandlende virksomhed (Microsoft) er i overensstemmelse med EU-Kommissionens model/standardkontrakt for overførsel af personoplysninger til en databehandler i et tredjeland (dvs. såkaldte ”ikke-sikre” lande uden for EU/EØS).

Den dataansvarlige og databehandleren er forpligtede til at træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommende kendskab, misbruges eller i øvrigt behandles i strid med loven. Gennemførsel af behandling ved en databehandler skal ske i henhold til en skriftlig aftale mellem parterne.

Hvis databehandleren er etableret i et andet EU-land, gælder de regler om sikkerhedsforanstaltninger, som er fastsat i det pågældende lands databeskyttelsesregler. Microsoft Ireland skal således i dette tilfælde leve op til den irske persondatalovgivning.

 

Overførsler til tredjelande ved cloud-løsninger

Cloud-løsninger vil ofte medføre, at personoplysninger overføres til lande beliggende uden for EU. En dansk dataansvarlig virksomhed vil skulle have Datatilsynets tilladelse til overførsel af personoplysninger til tredjelande baseret på modelkontrakten.

 

Vores vurdering

Udtalelsen fra Datatilsynet giver virksomheder lettere adgang til at benytte visse cloudløsninger, når personoplysninger overføres til tredjelande.

Virksomheder skal ved benyttelse af disse cloud-øsninger sikre sig, at kontrakten med databehandleren ikke er ændret i forhold til Kommissionens standardkontrakt og herefter indsende en blanket til Datatilsynet, hvori det erklæres, at standardkontrakten anvendes uden ændringer.



Ovenstående er ikke juridisk rådgivning, og Moalem Weitemeyer Bendtsen indestår ikke for, at indholdet af ovenstående er korrekt. Moalem Weitemeyer Bendtsen har med ovenstående ikke påtaget sig ansvar af nogen art som konsekvens af en læsers benyttelse af ovenstående.