Persondata
Trin for trin-guiden “Databeskyttelse og it-sikkerhed” med tilhørende skabeloner klæder dig på til at arbejde med persondata. Se også spørgsmål og svar om persondata.
Trin for trin-guiden “Databeskyttelse og it-sikkerhed” med tilhørende skabeloner klæder dig på til at arbejde med persondata.
Spørgsmål og svar om persondata
Må vandværket lægge analyseresultater fra private forbrugeres taphane op på vandværkets hjemmeside, som indeholder forbrugerens adresse?
I medfør af drikkevandsbekendtgørelsen udtages der vandprøver til analyse af drikkevandskvaliteten fra private forbrugeres taphane, hvorfra der tappes vand til drikkevand (prøvetagningsstedet).
Prøvetagningsstedets adresse er synlig for offentligheden i Jupiterdatabasen. Disse data defineres ikke som følsomme persondata i henhold til persondatareglerne.
Danske Vandværker vurderer, at offentliggørelse af disse oplysninger vil være lovligt i henhold til persondataforordningen, da behandlingen må anses for at være nødvendig af hensyn til samfundets interesse, og fordi der består en retlig forpligtelse til at offentliggøre disse data.
Skal vandværket lave en databehandleraftale med spildevandsselskabet?
I de tilfælde hvor et spildevandsselskab og et vandværk har aftalt en fælles indsamling af det årlige måleraflæsningstal til brug for afregning af henholdsvis vandafgift og afledningsafgift, skal der ikke indgås en databehandleraftale.
Dette skyldes, at spildevandselskabet ikke kan defineres som databehandler, fordi selskabet ikke behandler data på vandværkets vegne og heller ikke handler efter vandværkets instruks.
Det er heller ikke nødvendigt at indhente samtykke fra forbrugeren, idet udlevering af disse data er hjemlet ved lov.
Er mails ”ud af huset” sikre nok til at sende indhold, der er personhenførbart?
Der er ikke lovgivningsmæssige krav til, at private skal kryptere mails.
Man bør dog vurdere, om det bør gøres ud fra mængden og typen af data.
Skal der indgås en databehandler aftale med en VVS’er, der på vandværkets vegne udskifter en vandmåler?
Nej. Videregivelse af forbrugers navn og adresse er nødvendig, så VVS’eren ved på hvilken adresse, måleren skal skiftes samt for at kunne skrive en faktura til vandværket.
VVS’eren er ikke databehandler, da indholdet i aftalen mellem vandværk og VVS’er ikke angår behandling af personoplysninger.
VVS’eren bliver selv dataansvarlig for den behandling, som han foretager af forbrugerens navn og adresse m.v.
Er det nødvendigt at have forbrugerens samtykke, hvis fjernaflæsninger af målere også bruges til driftsoptimering, så som at finde vandspild og eventuelt regulere trykket i ledningsnettet?
Nej, hvis de kun bruges specifikt til det, og ikke gemmes længere end højst nødvendigt
Der må ikke indsamles/gemmes data til et tænkt fremtidigt behov.
Første når behovet/samtykket er tilstede, må indsamling/opbevaring af data påbegyndes.
Skal personoplysninger krypteres?
Persondataforordningen kræver ikke, at persondata (almindelige og følsomme) skal krypteres, da persondataordningen ikke beskriver et bestemt sikkerhedsniveau.
Datatilsynets opfattelse er dog, at det normalt vil være en passende sikkerhedsforanstaltning at bruge kryptering ved transmission af fortrolige og følsomme personoplysninger med e-mail.
Almindelige personhenførbare oplysninger skal ikke krypteres.
Skal der indgås en databehandler med Nets?
Der skal ikke indgås en databehandleraftale med Nets, fordi Nets ikke handler efter instruks fra vandværkerne, men leverer en professionel service (pengeoverførelse) inden for lovbestemte rammer.
Nets er ansvarlig for sikker og korrekt behandling af data, som de er i besiddelse af, og vandværket kan derfor, uden at overtræde persondataforordningen, levere de nødvendige data til Nets, hvilket er en forudsætning for, at den aftalte pengeoverførelse kan finde sted.
En databehandleraftale skal indgås, når en leverandør, efter instruks fra den dataansvarlige, behandler vandværkets personhenførbare data.
