Indsigt i reglerne for databeskyttelse (GDPR) på 15 minutter

Denne tekst er udarbejdet med henblik på at give et overblik og en lettere forståelse af reglerne for databeskyttelse og den nye persondataforordning eller blot GDPR, som er den engelske forkortelse for forordningen (General Data Protection Regulation), der havde virkning fra den 25. maj 2018.

Det er dog vigtigt at have for øje, at der er tale om en generel gennemgang af reglerne, og kan således ikke erstatte konkret rådgivning. For mere information om nedenstående punkter, herunder vejledninger og skabeloner, henvises der til datatilsynet.dk eller virksomheds-guiden.dk, og man bør som nuværende eller kommende selvstændig sætte tid af til at læse datatilsynets vejledninger for en dybere forståelse.

Formålet med databeskyttelse

Reglerne om databeskyttelse er lavet for at sikre, at der sker en sikker behandling af person-oplysninger, og medfører, at enhver, der behandler personoplysninger uden for rent privat sammenhæng, er forpligtet til at iagttage disse rettigheder og til at beskytte personoplysninger-ne.

Hvornår finder regler anvendelse?

Efter persondataforordningen artikel 2, stk. 1, finder forordningen anvendelse når der sker en behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk data-behandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

Hvad er behandling?

Begrebet behandling skal således forstås meget bredt, og dækker over enhver håndtering af personoplysninger, der er eller vil blive indeholdt i et elektronisk eller fysisk register, f.eks. et kundekartotek.

I praksis betyder dette, at der er tale om behandling af personoplysninger ved enhver håndte-ring af personoplysninger, herunder indsamling, registrering, organisering, systematisering, op-bevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begræns-ning, sletning eller tilintetgørelse.

Hvad er personoplysninger?

Personoplysninger er information, der direkte kan bruges til at identificere en fysisk person – såsom kunder, ansatte m.fl. f.eks. et navn eller et billede. Men også oplysninger, der indirekte, f.eks. ved sammenstilling af oplysninger med offentligt tilgængelig information eller med anden information hos den dataansvarlige virksomhed, kan identificere en fysisk person. Det er altså oplysninger som siger noget om en identificeret eller identificerbar fysisk person.

Personoplysninger deles i tre typer (se figuren neden for):

1. Almindelige oplysninger,
2. Særlige kategorier af oplysninger (følsomme oplysninger) og
3. Oplysninger om straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforan-staltninger.

Jo højere oppe i trekanten oplysningerne er, desto strengere betingelser er der for at behandle dem.

Dataansvarlig eller databehandler?

I forbindelse med behandling af personoplysninger skelner man mellem enten dataansvarlig eller databehandler, og det er vigtigt i første omgang at få klarlagt hvilken rolle man indtager, da kravene til dataansvarlige og databehandlere er forskellige.

Den dataansvarlige er den person, virksomhed, myndighed eller anden organisation, der be-stemmer, hvorfor der foretages behandling af personoplysninger og med hvilke hjælpemidler. Der er således oftest tale om, at man er dataansvarlig. Er man en virksomhed og indsamler oplysninger om sin kunde vil man således være dataansvarlig.

Databehandleren er den person, virksomhed, myndighed eller anden organisation, der behand-ler personoplysninger på den dataansvarliges vegne.

Hvornår må man behandle personoplysninger?

Inden man går i gang med at behandle personoplysninger, skal man sikre sig, at ens behandling nu også er lovlig – det kalder man at have hjemmel til at behandle en personoplysning.

For at finde ud af om ens behandling er lovlig skal man i første omgang se på, hvilken type af personoplysninger som man behandler. Er der tale f.eks. tale om en almindelig eller en følsom personoplysning.

Derefter skal man for det andet se på den situation, som nødvendiggør behandlingen af per-sonoplysninger. Det vil ofte være at opfylde en kontrakt, f.eks. salg af en vare eller rådgivning til en privatperson eller enkeltmandsvirksomhed, hvor man i sagens natur har behov for adres-seoplysninger på kunden.

Sædvanligvis må almindelige oplysninger behandles hvis:

• der foreligger et samtykke fra den registrerede, eller
• behandlingen er nødvendig for at opfylde en kontrakt, som den registrerede er part i, f.eks. et salg til en kunde.

Hjemler til at behandle personoplysninger findes i persondataforordningen og databeskyttelses-loven:

Type af oplysning Hjemmel
Almindelige personoplysninger Persondataforordningen artikel 6
Følsomme personoplysninger Persondataforordningen artikel 9 og databeskyttelsesloven §7, 9-10 og 12
Oplysninger om strafbare forhold og lovovertrædelser Persondataforordningen artikel 10 og databeskyttelsesloven §8
CPR-nummer Databeskyttelsesloven §11

Udover at man skal sikre sig, at man har lovhjemmel til at behandle en personoplysning, skal man for det tredje altid efterleve de grundlæggende principper for behandling af personoplys-ninger, persondataforordningens artikel 5.

Princip Betydning
Lovlighed, rimelighed og gennemsigtighed Behandlingen skal overholde databeskyttelsesreglerne og være gennemsigtig
Formålsbegrænsning Ved indsamling skal det være klart, hvilke saglige formål oplysningerne skal anvendes til. Senere behandling må ikke være uforenelig med disse formål.
Dataminimering Behandling, herunder opbevaring af oplysninger, skal begrænses til det, der er nødvendigt for at opfylde formålet.
Rigtighed Oplysninger skal ajourføres, og urigtige oplysninger skal slettes eller berigtiges.
Opbevaringsbegrænsning Når det ikke længere er nødvendigt at behandle oplysningerne, skal de anonymiseres eller slettes.
Integritet og fortrolighed Oplysninger må ikke komme til uvedkommendes kendskab, gå tabt eller blive beskadiget.

Den registreredes rettigheder

Den person, som der behandles personoplysninger om, (den registrerede) har visse rettigheder, som kan gøres gældende overfor den, der behandler personoplysningerne. Disse rettigheder fremgår af persondataforordningens artikel 12-22 og omhandler retten til:

Ret Betydning
Indsigt Ret til at se de personoplysninger, den dataansvarlige behandler, og få en række oplysninger om behandlingen – ret til at få urigtige/forkerte personoplysninger om sig rettet
Berigtigelse Ret til at få urigtige/forkerte personoplysninger om sig rettet.
Sletning Ret til at få slettet sine personoplysninger, hvis én af en række betingelser, der nævnes i databeskyttelsesforordningen, er opfyldt
Begrænsning af behandling Ret til at få begrænset behandlingen af sine personoplysninger, hvis én af en række betingelser er opfyldt
Dataportabilitet Ret til i visse tilfælde at modtage sine personoplysninger og til at anmode om, at personoplysningerne overføres fra én dataansvarlig til en anden
Gøre indsigelse mod behandling Ret til at gøre indsigelse mod en ellers lovlig behandling af dine personoplysninger
Trække samtykke tilbage  
Ikke at være genstand for en automa-tisk afgørelse udelukkende baseret på automatisk behandling, herunder profi-lering Ret til at trække ens samtykke til behandling tilbage

Modtager man en anmodning fra en registreret, der ønsker at gøre sine rettigheder gældende, skal man behandle anmodningen senest 1 måned efter modtagelsen.

Efterkommer man ikke en anmodning, kan den registrerede rette henvendelse til Datatilsynet for at få vejledning og eventuelt for at klage over den dataansvarlige.

Oplysningspligt

Den, der indsamler personoplysninger om en registreret, har pligt til og senest samtidigt med indsamlingen at oplyse vedkommende en række informationer, persondataforordningens artikel 13:

• identitet på og kontaktoplysninger for den dataansvarlige og dennes eventuelle repræ-sentant
• kontaktoplysninger for en eventuel databeskyttelsesrådgiver
• formålene med den behandling, som personoplysningerne skal bruges til, og retsgrund-laget for behandlingen
• de legitime interesser, som forfølges af den dataansvarlige eller en tredjemand, hvis behandlingen er baseret på artikel 6, stk. 1, litra f
• eventuelle modtagere eller kategorier af modtagere af personoplysningerne
• hvor det er relevant, at den dataansvarlige agter at overføre personoplysninger til et tredjeland eller en international organisation, og om hvorvidt Kommissionen har truffet afgørelse om tilstrækkeligheden af beskyttelsesniveauet, eller i tilfælde af overførsler i henhold til artikel 46 eller 47 eller artikel 49, stk. 1, andet afsnit, litra h), henvisning til de fornødne eller passende garantier, og hvordan der kan fås en kopi heraf, eller hvor de er blevet gjort tilgængelige.

Herudover skal det også, hvor det er nødvendigt, oplyses om:

• det tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum
• retten til at anmode den dataansvarlige om indsigt i og berigtigelse eller sletning af per-sonoplysninger eller begrænsning af behandling vedrørende den registrerede eller til at gøre indsigelse mod behandling samt retten til dataportabilitet
• når behandling er baseret på artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), ret-ten til at trække samtykke tilbage på ethvert tidspunkt, uden at dette berører lovlighe-den af behandling, der er baseret på samtykke, inden tilbagetrækning heraf
• retten til at indgive en klage til en tilsynsmyndighed
• om meddelelse af personoplysninger er lovpligtigt eller et krav i henhold til en kontrakt eller et krav, der skal være opfyldt for at indgå en kontrakt, samt om den registrerede har pligt til at give personoplysningerne og de eventuelle konsekvenser af ikke at give sådanne oplysninger
• forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 22, stk. 1 og 4, og i disse tilfælde som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.

Man har endvidere oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrere-de, persondataforordningens artikel 14.
Se eksempler på oplysningspligt på datatilsynet.dk.

Fortegnelse

Alle dataansvarlige og databehandlere skal føre interne fortegnelser over deres behandling af alle personoplysninger. Pligten følger af databeskyttelsesforordningens artikel 30. Selvom den er intern kan Datatilsynet dog anmode om at få tilsendt en kopi. (I enkelte tilfælde skal man ikke føre en fortegnelse, persondataforordningens artikel 30, stk. 5).

Fortegnelsen er en virksomheds dokumentation af de overvejelser, som man i medfør af for-ordningens øvrige regler i forvejen skal gøre sig. Det vil sige, at man ved at udarbejde forteg-nelsen får et overblik over de personoplysninger, som man behandler og hvorfor. Fortegnelser skal være skriftligt og elektronisk. Det vil sige, at man ikke må føre den i et fysisk dokument eller efter hukommelsen.

En fortegnelse skal for en dataansvarlig som minimum indeholde nedenstående oplysninger. Bemærk, at kravene til fortegnelsen vil være forskellige alt efter, om man er dataansvarlig eller databehandler.

Oplysning Betydning
Navn og kontaktoplysninger Den dataansvarliges navn og kontaktoplysninger.
Formål Samtlige formål med behandlingsaktiviteter skal fremgå af fortegnelsen.
Kategorier af registrerede og personoplysninger En beskrivelse af kategorierne af registrerede og kategorierne af de personoplysninger, der behandles.
Kategorier af modtagere ved videregivelse Hvis man videregiver eller vil videregive personoplysninger, skal fortegnelsen indeholde oplysninger om kategorien af modtagere.
Overførsler til tredjelande og internationale organisationer Hvis det er aktuelt, skal man i fortegnelsen oplyse om overførsler af personoplysninger til et tredjeland eller en international organisation.
Slettefrister Man må ikke opbevare personoplysninger i længere tid end det, der er nødvendigt til behandlingsformålet og hvis det er muligt, skal man oplyse om de forventede slettefrister
Tekniske og organisatoriske foranstaltninger Hvis det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger

Se eksempel på fortegnelse på datatilsynet.dk.

Databehandleraftale

Benytter man sig af en databehandler skal man sikre sig, at der foreligger en skriftlig databe-handleraftale, der angiver på hvilke vilkår den databehandleren behandler personoplysninger på vegne af den dataansvarlige. Dette kalder man en databehandleraftale. Benytter man sig af en online bogføringsløsning, som man bruger til at udstede fakturaer fra, skal man sikre sig, at man har indgået en databehandleraftale.

Se eksempel på databehandleraftale på datatilsynet.dk.

Sikkerhedsbrud

Som udgangspunkt skal alle sikkerhedsbrud anmeldes til Datatilsynet. Der er tale om et sikker-hedsbrud, når der sker en hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret vide-regivelse af eller adgang til personoplysninger. Som et eksempel kan nævnes fremsendelse af en mail med kundeoplysninger til en anden kunde.

Som udgangspunkt skal alle brud på persondatasikkerheden anmeldes til Datatilsynet, medmin-dre det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.

Hvis det er sandsynligt, at et brud på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder, har man som den dataansvarlige pligt til uden unødig forsinkelse og om muligt senest 72 timer at anmelde bruddet til Datatilsynet. Ved alvor-ligt sikkerhedsbrud skal den registrerede tillige underrettes.

Anmeldelse skal ske på virk.dk.

Datasikkerhed

Som den dataansvarlige skal man sikre, at databeskyttelsen varetages igennem “passende tek-niske og organisatoriske foranstaltninger”, persondataforordningens artikel 32. Hvad der er passende afhænger af den risiko, der forbundet med behandlingen.

Eksempler på sikkerhed er: kode på computer og telefon, antivirus, løbende backup, opsætning af sikkermail, aflåsning af dokumenter i skabe og lås på kontoret.

Hvor skal jeg starte og hvad skal jeg som den dataansvarlige være opmærksom på

Det er vigtigt at have for øje, at det tager tid at sætte sig ind i, hvorvidt man lever op til per-sondataforordningens regler. Når det er sagt er det også en god øvelse for ens virksomhed.

Et godt sted at starte er testen PrivacyKompasset, hvor man bliver stillet en række spørgsmål. Dernæst kan man se på, om man lever op til den dataansvarliges forpligtelser efter Datatilsy-nets vejledninger, som overordnet kan opsummeres til:

• Lov til at behandle personoplysninger
• Fører en fortegnelse over dine behandlingsaktiviteter
• Er i stand til at efterleve reglerne om de registreredes rettigheder, som for eksempel oplysningspligt eller retten til indsigt, og både i forhold til eksterne personer men også medarbejdere og jobansøgere.
• Får indberettet eventuelle brud til Datatilsynet inden for 72 timer
• Har en databehandleraftale med de databehandlere, der behandler personoplysninger på ens vegne
• Kan dokumentere over for Datatilsynet, at man har sikret databeskyttelse med passen-de tekniske og organisatoriske foranstaltninger, således at der ikke sker utilsigtede, uri-melige eller ulovlige behandlinger.

Kilder

• datatilsynet.dk
• virksomhedsguiden.dk
• Databeskyttelsesforordningen
• Databeskyttelsesloven
• Betænkning nr. 1565 – Databeskyttelsesforordningen (2016/679) – og de retlige rammer for dansk lovgivning

Senest opdateret den

Sidst redigeret: 10. juni 2020