Indhold

GDPR-ordbog

Kortlægning, risikovurdering, gap-rapporter, databehandler, databrud mm. Hvad betyder ordene? Vi har lavet en GDPR-ordbog med de mest brugte udtryk indenfor området.

A

Adfærdskodeks

Et adfærdskodeks er beskrivelser af, hvordan en dataansvarlig eller databehandler bør håndtere kravene til behandling af personoplysninger. Der er forskellige adfærdskodekser alt efter hvilken branche, der er tale om, dette fremgår af artikel 40 i Forordningen. Princippet med adfærdskodekset er, at signalere til omverdenen, at man overholder loven og dermed er compliant.

Anmeldelse

Databrud skal tages alvorligt, og hvis persondata er blevet kompromitteret, skal myndighederne dvs. Datatilsynet orienteres inden for 72 timer af den dataansvarlige.

Datatilsynet - Vejledning om håndtering af brud på persondatasikkerheden Her bliver du klog på fx hvad et databrud er og de forskellige slags databrud.

Anmeldelsen skal ske til virk.dk hvor du finder en anmeldelsesguide samt elektroniske blanketter. Vil du anmelde et brud og har brug for hjælp specifikt til udfyldelse af blanketten på virk.dk, kan du ringe til Datatilsynet på tlf. 61 63 04 44. Telefonen er åben mandag til fredag kl. 9.30 - 12.00 og 13.00 - 15.00.

Ansvarlighed

Ansvarlighed handler i bund og grund om at behandle data på ansvarlig vis. Det betyder brug af sund fornuft, når man har omgang med en anden persons personlige oplysninger. Dette ansvar ligger hovedsageligt hos den dataansvarlige, hvis primære ansvar er at behandle alle data i overensstemmelse med loven. Det gælder uanset om det er den dataansvarlige selv eller en anden databehandler, der håndterer dataene.

Anonymisering

Uigenkaldelig afidentificering af persondata, som sikrer, at en fysisk person ikke længere kan identificeres via pågældende data.

Audit (Intern)

Forordningen stiller ikke krav om, at der foretages audit – hverken intern eller ekstern audit. Men det er en god måde at få kontrolleret det arbejde, der er udført i processen for at kunne sige, at grundlaget for at efterleve GDPR er opfyldt.

Audit (Ekstern)

Det kan være relevant for nogle virksomheder at få lavet eksternt audit af deres GDPR-compliance, enten af en revisor eller en ekstern DPO/GDPR-specialist. Disse audits kan udmunde i erklæringer som kan bruges som garanti overfor dataansvarlige og omverdenen generelt for at virksomheden har implementeret Databeskyttelsesforordningen korrekt. Mange virksomheder oplever også at der i databehandleraftaler stilles krav til at de en gang årligt skal leverer en eller anden form for ekstern erklæring vedrørende deres GDPR.

B

Begrænsning af behandling

Den registrerede har under visse omstændigheder, for eksempel ved tvivl om rigtigheden af persondata, mulighed for at kræve, at behandlingen af dennes persondata bliver sat i bero, indtil uoverensstemmelsen er løst. I tilfælde af, at registrerede påråber sig retten til begrænset behandling skal alle andre modtagere (fx databehandlere) informeres herom og deres behandling skal ligeledes begrænses til opbevaring. I de fleste tilfælde vil behandlingen blive sat på ”stand by” indtil årsagen til begrænsningen er løst.

Behandling

I persondataretslig forstand er enhver aktivitet, som personoplysninger gøres til genstand for, en behandling, uanset om den sker elektronisk eller manuel. Det kan f.eks. være indsamling, systematisering, opbevaring, ændring, søgning i, anvendelse af, videregivelse, overladelse, samkøring og sletning.

Behandlingsbetingelser (hjemmelskrav)

For at behandling af persondata er lovlig, skal man have hjemmel dvs. at der skal være belæg for behandling i Forordningen. Sagt med andre ord: Der er ifølge Forordningen seks gode grunde (hjemler) til at behandle almindelige personoplysninger. Hvis ingen af disse grunde passer på virksomhedens databehandling, så er behandlingen ulovlig.

De seks hjemler er følgende: \1. Samtykke dvs. at den registrerede selv har indvilliget i, at vedkommendes data behandles. \2. Nødvendig for opfyldelse eller forberedelse af kontrakt dvs. fx hvis en kunde ønsker at købe en vare: Ved alt andet end kontantkøb kan det ikke lade sig gøre at indgå køb og salg, med mindre man kan behandle persondata. \3. Nødvendig for at overholde en retlig forpligtelse. Ved retlige forpligtelser af enhver art er dette punkt hjemmel for behandling af persondata. \4. Nødvendig for at beskytte den registreredes, f.eks. kundens, vitale interesser. Det kan bl.a. gøre sig gældende, hvis en kunde skal beskyttes mod et stort økonomisk tab, og kunden ikke selv er i stand til at reagere. \5. Nødvendig af hensyn til udførelsen af en opgave i samfundets interesse eller offentlig myndighedsudøvelse. Hvis en given opgave er blevet pålagt en virksomhed af det offentlige system, skal hjemlen findes i dette punkt. \6. Nødvendig for at forfølge legitim interesse, så længe denne ikke overstiger f.eks. en kundes interesse eller grundlæggende rettigheder (interesseafvejningsreglen). Denne hjemmel er vigtig men potentielt meget farlig at bruge, for hvornår overgår virksomhedens interesse i f.eks. salg kundens interesse i f.eks. privatliv? Det er nødvendigt at overveje dette i hvert tilfælde, hvor man vil gøre brug af denne hjemmel og det ville være en rigtig god ide at dokumentere sine overvejelser, hvis hjemlen skulle blive anfægtet.

Virksomheden skal foretage et bevidst valg af hvilken eller hvilke hjemler, man vil basere sin persondatabehandling på. Der SKAL som sagt være hjemmel, ellers er behandlingen (og det inkluderer også opbevaring og sletning) ulovlig. Og hjemlen skal kunne holde til at blive målt og vejet af jurister.

Binding Corporate Rules (BCR)

BCR eller bindende virksomhedsregler er relevante for virksomheder, som har datterselskaber eller afdelinger i usikre 3. lande. En BCR kan sikre, at der frit kan overføres persondata mellem de forskellige juridiske enheder i koncernen. Der kan således med indgåelsen af en enkelt aftale håndteres persondataoverførsel i hele koncernen. Reglerne vil dog kun være gældende internt i koncernen, og der kan med en BCR ikke overføres persondata til udenforstående virksomheder i 3. lande. En BCR skal godkendes af myndighederne for at træde i kraft, og i Danmark er det Datatilsynet, der skal godkende en sådan aftale.

Prisen for kun at skulle have én godkendelse er, at kravene til en BCR er omfattende. Udover at aftalen skal være bindende for alle involverede selskaber i koncernen, skal det sikres, at de registreredes rettigheder kan håndhæves. Derudover skal en BCR indeholde følgende:

- Hvilke overførsler af hvilke oplysninger, der overføres til hvilke lande - Hvordan de registreredes rettigheder håndhæves, herunder oplysningspligt og erstatningsmulighed - Den retligt bindende karakter af BCR’en - At det europæiske moderselskab påtager sig ansvaret - Anvendelsen af databeskyttelsesprincipper som dataminimering, privacy by design og default - Hvordan det kontrolleres, at BCR’en overholdes - DPO’ens opgaver og klagehåndtering - Databeskyttelsesuddannelse til personer, som behandler persondata

Det er en omfattende opgave, men det kan godt betale sig i det lange løb. I stedet for hele tiden at skulle indgå individuelle aftaler.

Biometriske data

Oplysninger, der giver information om den registreredes fysiske, fysiologiske eller adfærdsmæssige karakteristika, der gør det muligt at identificere en bestemt person. Dette kan for eksempel være et fingeraftryk eller iris-analyse.

Brud på persondatasikkerheden

Et brud på sikkerheden, der medfører ulovlig omgang med personoplysninger. Dette kan for eksempel være en ulovlig ændring, videregivelse af data eller hacking.

Bødestørrelser

Under Forordningen er der to kategorier af overtrædelser: I første kategori kan der uddeles bøder på op til enten 10 mio. euro eller op til 2 % af en virksomheds globale omsætning, alt efter hvad der er højest. I den anden kategori er bødestørrelsen op til 20 mio. euro eller op til 4 % af omsætningen, igen alt efter hvad der er højst. Kategorierne kan ses i artikel 83 i Persondataforordningen. I modsætning til andre europæiske datatilsyn kan Datatilsynet i Danmark ikke selv pålægge virksomheder bøder. Datatilsynet skal i stedet politianmelde en virksomhed, hvilket imidlertid i sig selv kan opfattes som en form for straf, da anmeldelsen kan føre til offentligt omdømmetab for virksomheden, uanset om anmeldelsen ender med en bøde eller ej.

C

Certificering

En certificering kan gives til en dataansvarlig eller en databehandler, der behandler persondata efter de definerede krav i adfærdskodekset, som fremgår af artikel 42. Det er dog frivilligt, om den pågældende ønsker en sådan certificering. Det vigtigste er, at processen for en sådan certificering er gennemsigtig.

Det vil sige, at det skal være nemt gennemskueligt for enhver, der ønsker certificering, hvilke krav de skal leve op til. Formålet med en sådan certificering er at få et bevis på, at den certificerede overholder Forordningens krav til behandling af persondata.

Cookie

Er en lille tekstfil, der giver mulighed for at lagre oplysninger eller tilgå allerede lagrede oplysninger på brugerens pc, smartphone, tabletcomputer e.l. med det formål at indhente data om brugeren.

D

Dataansvarlig

”En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.” jf. Databeskyttelsesforordningens artikel 4, nr. 7. Den, der afgør, til hvilket formål og med hvilke hjælpemidler, der må foretages behandling af persondata, er dataansvarlig. Herunder er den dataansvarlige beslutningstager for, hvem der skal have adgang til at behandle personoplysningerne. Groft sagt er det den dataansvarlige, som bestemmer over data og har det endelige ansvar – altså den, der beslutter formål, omfang og metoder til behandling af persondata.

Databehandler

”En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne” jf. Databeskyttelsesforordningens artikel 4, nr. 8. Det er m.a.o. den, der behandler data på vegne af den dataansvarlige – f.eks. et firma, der håndterer løn eller en cloudtjeneste. Artikel er du databehandler eller dataansvarlig?

Databehandleraftale

Når den dataansvarlige indgår en aftale med en databehandler, skal der udarbejdes en skriftlig kontrakt. En skriftlig databehandleraftale er nødvendig, når en dataansvarlig virksomhed videresender data til en underleverandør, som skal behandle disse data udelukkende efter instruks fra den dataansvarlige og udelukkende til at opfylde den dataansvarliges formål. Det kan f.eks. være underleverandører som hosting-virksomheder og lønbureauer.

HUSK løbende at kontrollere, at din databehandler har passende foranstaltninger til at behandle personlysninger sikkert. Som hovedregel skal man være opmærksom på, at når man som virksomhed i princippet kan udføre en opgave selv (du kan selv lave dine ansattes løn, du kan selv hoste din data) men vælger at lade en underleverandør varetage behandlingen af data, skal der som oftest laves en databehandleraftale.

Når den dataansvarlige indgår en aftale med en databehandler, skal der som nævnt udarbejdes en skriftlig kontrakt, og det er den dataansvarliges ansvar, at en sådan kontrakt bliver indgået - dog udformes den ofte af databehandleren. Selvom dette er tilfældet i praksis, er det stadig den dataansvarliges ansvar, at alle kravene til en sådan aftale er opfyldt.

Dataportabilitet

Dataportabilitet omhandler den registreredes ret til at få sine registrerede persondata udleveret til sig selv i et struktureret, almindelig anvendt og maskinlæsbart format eller, hvis det er teknisk muligt, at få data overført til en anden dataansvarlig. Retten gælder dog kun for persondata, hvor hjemmelsgrundlaget er samtykke eller kontrakt og når behandlingen af data foretages automatisk. (Artikel 20)

Der kan skelnes mellem forskellige kategorier af data, afhængigt af deres oprindelse, for at afgøre, om de er omfattet af retten til dataportabilitet. Følgende kategorier kan kvalificeres som "afgivet af den registrerede":

• Data, der er aktivt og bevidst udleveret af den registrerede (f.eks. adresse, brugernavn, alder osv.) • Observerede data fra den registrerede i kraft af brugen af tjenester eller enheder. Det kan for eksempel være data vedrørende en persons søgehistorik, datatrafik og lokationsdata. Det kan også indeholde andre rå data, såsom hjerterytme sporet af en bærbar enhed.

I modsætning til ovenstående omfatter retten til dataportabilitet ikke data, som er lavet af den dataansvarlige baseret på den data, som den registrerede har afgivet. Eksempelvis kan resultatet af en vurdering af brugerens sundhed eller profil i forbindelse med risikovurdering af kreditværdighed ikke i sig selv betragtes som "afgivet af" den registrerede. Selvom sådanne data kan være en del af en profil, der opbevares af en dataansvarlig, og som udledes eller afledes af analysen af data fra den registrerede (gennem sine handlinger for eksempel), vil disse data typisk ikke betragtes som "leveret af registrerede" og falder dermed ikke ind under retten til dataportabilitet.

Hvorvidt den dataansvarlige selv må beholde en kopi efter udleveringen/overførslen afhænger af hjemmelsgrundlaget og de konkrete omstændigheder omkring det. For eksempel er det jo nødvendigt for den dataansvarlige at beholde en kopi af data, hvis den registrerede stadig afbetaler på en ydelse, der er købt af dataansvarlig.

Datatilsynet

Datatilsynet vil kunne begrænse og endda forbyde en virksomheds behandling af persondata, hvis det vurderer, at en sådan behandling ikke er i overensstemmelse med Persondataforordningen. Det kan reelt betyde et stop for en virksomheds aktiviteter på både kort og lang sigt, da næsten al aktivitet involverer behandlingen af persondata. Udover at være kontrol- og tilsynsmyndighed fungerer Datatilsynet også som klageinstans i forhold til enkeltpersoner. Derudover står Datatilsynet til rådighed for enkeltpersoner, virksomheder, organisationer i forhold til information og vejledning om datasikkerhed, lovgivning på området mm.

Databeskyttelsesforordningen

Den lovgivning, som pr. 25. maj 2018 regulerer behandlingen af persondata (træder sammen med Databeskyttelsesloven i stedet for Persondataloven) Link til information om Databeskyttelsesforordningen

Databrud

Når persondata går tabt, bliver utilgængelig, tilintetgjort, ændret, offentliggjort, videregivet eller på anden vis bliver tilgængelig for uvedkommende.

Dataminimering

En virksomhed er kun berettiget til at indsamle tilstrækkelige, relevante og nødvendige data om personer. Der må således ikke indsamles data, der er unødvendige i forhold til formålet, samtidigt med at behandlingen af data skal ske på et egnet grundlag. Der skal derfor, når der indsamles oplysninger, ske en konkret vurdering af hvilke data, der er relevante for at opfylde formålet med indsamlingen.

Datamodtager

En juridisk eller fysisk person, en offentlig myndighed, en institution eller et andet organ, der bliver videregivet personoplysninger til.

DPO

En DPO står for Data Protection Officer og er en databeskyttelsesrådgiver, der underretter og rådgiver den dataansvarlige eller databehandleren og de ansatte, der behandler persondata, om deres forpligtelser iht. forordningen, og som fører tilsyn med, om virksomheden overholder reglerne.

EF

Forordning

Det, at der er tale om en Forordning og ikke et direktiv betyder, at reglerne gælder direkte og ensartet i alle lande dvs. at de 99 Artikler, som Forordningen indeholder, skal efterleves af alle EU-lande uden undtagelse. Der er dog en fælles opfattelse af, at Forordningen efterlader mange huller og uafklarede spørgsmål, som i sidste ende sikkert vil finde en afgørelse på EU-domstolenes bord. Forordningen rummer dog også muligheder for at fastsætte nationale særregler på en række områder.

Formålsbegrænsning

Der må ikke opbevares personoplysninger, der ikke har noget reelt formål. Hvis dette sker, skal de slettes øjeblikkeligt. Forordningen (Artikel 5) angiver bl.a. at personoplysninger skal indsamles til udtrykkeligt fastslåede saglige formål – det indebærer, at der skal være en naturlig eller nærliggende sammenhæng mellem den almindelige aktivitet, som den dataansvarlige udøver, og behovet for at indsamle de pågældende oplysninger. Det betyder også, at alle personoplysninger kun må benyttes til det formål, det er indsamlet til, og de indsamlede oplysninger må ikke på et senere tidspunkt anvendes med henblik på formål, der er uforenelige med indsamlingsformålet. Dvs. at den registrerede skal kunne forudse, hvad de indsamlede oplysninger bliver brugt til. Såfremt de indsamlede oplysninger skal anvendes til andet formål, kræver det, at der indhentes et samtykke fra den registrerede hertil.

Fortegnelse over behandlingsaktiviteter

Generelt har den dataansvarlige og databehandlere pligt til at udarbejde en fortegnelse over alle de aktiviteter i virksomheden, som indebærer behandling af persondata. En sådan fortegnelse giver overblikket over virksomhedens behandlingsaktiviteter og samtidig er den med til at danne grundlag for at kunne dokumentere virksomhedens behandlingsaktiviteter, når Datatilsynet melder sin ankomst.

Artikel 30 i Forordningen angiver kravene til indholdet af denne fortegnelse for henholdsvis den dataansvarlige og databehandleren. For nogle virksomheder kan det opleves som en omfattende opgave at skulle udforme en sådan fortegnelse, og der er i den forbindelse indskrevet en undtagelsesregel i forordningens artikel 30, stk. 5, som angiver, at der ikke er krav til at udarbejde en fortegnelse i virksomheder, der beskæftiger under 250 personer medmindre den behandling de foretager, sandsynligvis vil medføre en risiko for den registreredes rettigheder og frihedsrettigheder, behandlingen ikke er lejlighedsvis, behandlingen omfatter følsomme oplysninger (Artikel 9)eller personoplysninger vedrører straffedomme og lovovertrædelser (Artikel 10).

Denne undtagelsesregel er blevet diskuteret, og der er en generel opfattelse af, at der stort set ikke vil være nogen virksomheder, der kan undgå at skulle udarbejde en fortegnelse – under alle omstændigheder skal alle virksomheder i alle henseender kunne dokumentere, at dens persondatabehandlinger lever op til Forordningens krav.

Fortrolige oplysninger

Fortrolige oplysninger er en særlig kategori af oplysninger, der ikke nævnes udtrykkeligt i databeskyttelsesreglerne, men hvor særlige beskyttelsesbehov kan have betydning ved anvendelsen af databeskyttelsesreglerne. Fortrolige oplysninger vil ofte være underlagt særregulering i anden lovgivning. Personnummer (CPR-nummer), oplysninger om strafbare forhold(straffeattest) er fortrolige oplysninger, der er særskilt reguleret i Databeskyttelsesforordningen.

Det afgørende for, om en oplysning skal anses for fortrolig, vil være en vurdering af, om oplysningen efter den almindelige opfattelse i samfundet bør kunne forlanges unddraget offentlighedens kendskab, jf. straffelovens § 152 sammenholdt med forvaltningslovens § 27. Følsomme personoplysninger vil utvivlsomt være fortrolige oplysninger. Omvendt er en fortrolig oplysning ikke altid følsom. Ikke-følsomme personoplysninger kan i visse situationer være fortrolige. Det gælder efter omstændighederne oplysninger om indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold. Det samme gælder oplysninger om interne familieforhold, herunder for oplysninger om for eksempel selvmordsforsøg og ulykkestilfælde.

Fortrolighedsaftale

Virksomheder bør altid sørge for at aftaler indgået med underleverandører og medarbejdere indeholder et afsnit om fortrolighed. Det er vigtigt at fortrolighedserklæringen understøtter pligt til fortrolighed også efter at aftalen ophører.

Freelance

Hvis du kun er dig i din virksomhed, er du automatisk dataansvarlig og skal have en politik for, hvordan du håndterer persondata. Det gælder i både digital og analog form – clean desk, print, mapper mm. - men hvis du i kraft af dine freelanceopgaver også får adgang til andre virksomheders data, herunder personoplysninger som CPR-numre, adresser etc., skal du i nogle tilfælde have en databehandleraftale med den dataansvarlige. Det er din kunde – som udleverer data til dig – der i de fleste tilfælde er dataansvarlig og derfor skal sikre, at virksomheden har fået de nødvendige tilladelser til at dele data med dig. I indgår så en databehandleraftale, og hvis du har brug for at dele data med en underleverandør eller samarbejdspartner, skal laves en underdatabehandleraftale.

Fælles dataansvar

Fælles dataansvar for to eller flere parter kan være aktuelt, hvis parterne i fællesskab bestemmer, hvorfor der skal behandles personoplysninger (formålet), og hvordan personoplysningerne behandles. Et fælles dataansvar kan dog kun komme på tale, hvis part 1 og part 2 sammen har ansvaret for en behandling, og hvis begge har ret til at bruge oplysningerne til egne formål. Der er altså ikke tale om et fælles dataansvar, hvis en behandling kun foretages til den ene parts formål. Datatilsynet har offentliggjort en skabelon til en aftale om fælles dataansvar. Skabelonen er tænkt som en hjælp til de virksomheder, offentlige myndigheder m.fl., som har et fælles dataansvar med en anden part for en given behandling af personoplysninger.

Følsomme persondata

Følsomme oplysninger er oplysninger om: Race og etnisk baggrund (ikke nationalitet), Politisk, religiøs eller filosofisk overbevisning, Fagforeningsmæssige tilhørsforhold, Helbredsforhold, Seksuel orientering, generisk (DNA) eller biometriske (fingeraftryk) data med henblik på unik identifikation. Der er pålagt skærpede krav til behandling af følsomme oplysninger, idet behandling af følsomme oplysninger som udgangspunkt er forbudt. Dog findes der en række undtagelser i Forordningen, bl.a. hvis der er indhentet udtrykkeligt samtykke fra den registrerede til behandling af følsomme oplysninger.

G

Gap

Gap-analyse er en evaluering der foretages for at finde hullerne i dit GDPR-arbejde.

Genetiske data

Oplysninger omhandlende genetiske specifikationer hos den registrerede. Disse oplysninger stammer fra en biologisk prøve.

Gennemsigtighed

Gennemsigtighed gør det nemmere for enhver at gennemskue, hvorfor de afgiver deres personlige oplysninger. Der er krav om, at man ikke må kræve unødige oplysninger og dermed skal angive hvorfor og til hvilket formål, man indsamler de pågældende oplysninger. Den registrerede må ikke på noget tidspunkt være i tvivl om, at der behandles data om vedkommende. Samtidig skal det være let gennemskueligt for den registrerede, hvilke rettigheder, der tillægges personen i forbindelse med behandlingen.

GDPR

(General Data Protection Regulation) GDPR, Databeskyttelsesforordningen og Persondataforordningen er det samme og er en lovgivning indført af EU. Databeskyttelse blev særlig relevant d. 25. maj 2018, da virksomheder fra denne dato skulle efterleve GDPR. GDPR omhandler personoplysninger og hvordan de behandles af virksomheder. Lovgivningen er et forsøg på at følge med den digitale udvikling, hvor data registreres og anvendes overalt. Med GDPR har kunder, borgere o.a. nogle rettigheder, som virksomhederne skal efterleve. Loven skal sikre fysiske personer retten til og kontrollen over egne personlige oplysninger.

Grænseoverskridende behandling (på tværs af grænser i EU)

Behandling af personoplysninger i en virksomhed på tværs af grænserne i EU eller behandling af data om personer i flere lande foretaget i én medlemsstat. Forordningens Artikel 4 nr. 23 angiver definitionernes originale ordlyd.

H

Helbredsoplysninger

Oplysninger, der omhandler det fysiske og mentale helbred hos den registrerede.

Hjemmel (lovhjemmel)

Danner grundlag for databehandlingen og er med til at afgøre, om behandlingen er lovlig. Se under behandlingsbetingelser (hjemmelskrav)

Hosted it-løsning /cloud-hosting

Et hosting-firma der tilbyder plads på en webserver, hvor du fx har din virksomheds hjemmeside.

Hovedvirksomhed

Hvis en dataansvarlig virksomhed er placeret i flere lande i EU, er det sted, hvor virksomhedens administrative hovedcenter ligger at betragte som hovedvirksomheden. Træffes beslutninger om databehandlingens mål og midler i en anden del af virksomheden, vil det være den del, der betragtes som hovedvirksomhed i sammenhæng med persondatabehandling. I en koncern vil det som udgangspunkt være koncernens kontrollerende virksomhed (moderselskabet), der betragtes som hovedvirksomhed.

IJ

Indsigelse (ret til)

Den registrerede har ret til at gøre indsigelse mod behandling, hvis den dataansvarlige hævder, at behandlingen sker i samfundets interesse eller opgaven er pålagt af det offentlige (artikel 21). Det er i den sammenhæng den dataansvarlige, der skal dokumentere en væsentlig grund til behandlingen. Endvidere kan den registrerede gøre indsigelse mod brug af personoplysninger til markedsføring og enhver behandling skal da straks standses. Markedsføring gælder både direkte markedsføring og brug af profilering! Husk, at den registrerede skal gøres opmærksom på sin indsigelsesret ved første kontakt, og rent praktisk kan denne information indgå i et ”oplysningsbrev”.

Hvis en beslutning baseret på en automatiseret proces har retsvirkning eller betydeligt påvirker en person, kan denne gøre indsigelse og kræve menneskelig indgriben (artikel 22). Dette gælder ikke, hvis det a) er nødvendigt for at opfylde en kontrakt, b) er hjemlet i EU-ret eller national lovgivning, c) er baseret på den registreredes udtrykkelige samtykke. Såfremt der opstår uoverensstemmelser omkring de beskrevne rettigheder, har den registrerede altid mulighed for at klage til Datatilsynet (artikel 13). Også denne ret skal den registrerede have information om ved første kontakt i forbindelse med oplysningsprocessen.

Indsigt (i hvordan den registreredes oplysninger behandles)

Den registrerede har mulighed for at sikre sig, at alt går rigtigt til, når data behandles. Det kaldes for ”indsigtsretten". Hvis en registreret person retter henvendelse til dig som dataansvarlig, skal du først be- eller afkræfte, at der behandles data om vedkommende og i givet fald oplyse hvilke data, det drejer sig om. Derefter skal den registrerede have adgang til disse data. Dette kan ske elektronisk gennem et sikkert system, på papir eller f.eks. i et PDF-format. Hvis det drejer sig om mange oplysninger, kan den dataansvarlige bede den registrerede specificere, hvad denne ønsker indsigt i, men den registrerede har ret til at bede om alle oplysningerne. Til gengæld er der mulighed for, at man kan forlange et rimeligt gebyr, hvis den registrerede ønsker mere end én kopi af oplysningerne. Inden oplysningerne udleveres er det vigtigt at sikre, at andre personer ikke får krænket deres rettigheder ved, at der fx nævnes en anden persons navn i dokumenterne, eller at der videregives forretningshemmeligheder.

Informationssikkerhed

Passende informationssikkerhed bør selvfølgelig implementeres for alle organisationens aktiver, lige meget om behandling af persondata er involveret eller ej. Forordningens artikel 32 henvender sig direkte til behandlingssikkerhed relateret til behandlingsaktiviteter, som indebærer behandling af persondata. Der skal indføres tekniske og organisatoriske foranstaltninger, som passer med den risiko (høj, middel, lav) som behandlingsaktiviteten udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

K

Konsekvensanalyser (ny teknologi)

I Forordningen artikel 35 står der, at hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal den dataansvarlige vurdere behandlingsaktiviteternes konsekvens for beskyttelse af personoplysningerne. Det vil sige, at ud over de behandlingsaktiviteter og typer af persondata, som behandles, som der i risikovurderingen er blevet vurderet at have høj risiko, skal der også laves konsekvensanalyser på behandlingsaktiviteter hvor ny teknologi benyttes.

Kryptering

Kodning af beskeder eller data på en sådan måde, at transmissionen af dataen sikres. Nogle krypteringsformer sikre også at det kun er den retmæssige modtager, der har mulighed for at afkode dem med en bestemt dekrypteringsnøgle. For oplysninger om korrekt kryptering besøg Datatilsynets hjemmeside.

LMN

Lovlighed

Behandling af persondata skal være lovlig. For at være lovlig skal behandlingen have såkaldt hjemmel i et af punkterne i forordningens artikel 6. Der kan være seks grunde til at en behandling af almindelige oplysninger er lovlig, og hvis ingen af disse seks grunde er passende, så er databehandlingen simpelthen ulovlig.Den fulde ordlyd kan findes i forordningen, men de seks hjemler er:

\1. Samtykke

\2. Behov for at kunne opfylde kontrakt

\3. Behov for at overholde en retlig forpligtelse

\4. Behov for at beskytte f.eks. en kundes vitale interesser

\5. Samfundets interesse

\6. Interesseafvejning

For private virksomheder vil de mest relevante hjemler være samtykke, kontraktindgåelse og interesseafvejning. Du skal være opmærksom på, at selvom din virksomhed overholder forordningen i sin databehandling, kan der være risiko for, at en anden lov er overtrådt.

O

Opbevaringsbegrænsning

Der stilles i Persondataforordningen krav om, at persondata ikke må opbevares i længere tid end nødvendigt for at kunne opfylde det formål, dataene er indsamlet til. Dette kræver i det fleste tilfælde en konkret vurdering af datas relevans, da der sjældent kan redegøres for, om data i samme kategori er nødvendige i lige lange perioder. Det anbefales derfor, at der fastsættes perioder for, hvornår der skal ske en revurdering af datas tilstrækkelighed og relevans.

Oplysningspligten

Oplysningspligten indebærer, at den registrerede skriftligt - og i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og tydeligt sprog - skal have en række oplysninger. Oplysningerne afhænger af, om data er indsamlet hos personen selv eller hos en anden. Hvis oplysningerne er indsamlet hos personen selv omfatter oplysningspligten følgende:

• identitet og kontaktoplysninger for den dataansvarlige og dennes evt. repræsentant • kontaktoplysninger for en evt. DPO • formålene med behandlingen og retsgrundlaget for behandlingen • de legitime interesser, som forfølges ved behandlingen • eventuelle modtagere eller kategorier af modtagere af personoplysningerne • hvorledes beskyttelsesniveauet er sikret • hvor længe personoplysningerne vil blive opbevaret • den registrerede skal oplyses om retten til indsigt, berigtigelse, sletning, begrænset behandling, indsigelse, samt retten til dataportabilitet. • retten til at klage • hvilken hjemmel, der er til at behandle data, for eksempel samtykke, et lovkrav, en kontrakt. • retten til at trække et samtykke tilbage (hvis et sådant er afgivet) • om personen har pligt til at afgive oplysningerne og de eventuelle konsekvenser af ikke at afgive disse • om forekomsten af automatiske afgørelser, herunder profilering.

Oplysningspligten skal overholdes på det tidspunkt, hvor personoplysningerne indsamles, dog senest indenfor 10 dage. Hvis oplysningerne ikke er indsamlet hos personen selv, omfatter oplysningspligten alt det ovenstående plus oplysning om, hvor virksomheden har fået personoplysningerne fra. Oplysningspligten gælder kun såfremt den registrerede ikke allerede er bekendt med oplysningerne – virksomheden skal dog kunne bevise, at den registrerede ikke allerede er bekendt med oplysningerne.

PQ

Persondataforordningen

Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF med tilhørende regulering.

Personoplysninger/persondata

Enhver oplysning om en identificeret eller identificerbar fysisk person Der arbejdes med to former for personoplysninger – almindelige oplysninger og følsomme oplysninger. Følsomme oplysninger benævnes i Forordningen som særlige kategorier af oplysninger. Eksempler på almindelige personoplysninger kan f.eks. være navn, adresse, telefon, mailadresse, fødselsdag, portræt fotos, uddannelse, erhverv, økonomiske forhold, IP-adresser (også dynamiske) mv.

Portrætbillede

Portrætbilleder har til formål at vise en eller flere personer, og hvor det er personerne, der er i fokus. Det er ikke situationen eller aktiviteten, der er hovedformålet med billedet.

Privacy by design & Privacy by default

Persondataforordningen indfører to nye begreber, nemlig Privacy by design og Privacy by default, på dansk databeskyttelse gennem design og databeskyttelse gennem standardindstillinger (Artikel 25). Det kan der ganske givet skrives lange bøger om, men her vil vi blot fortælle om grundtanken, så ingen farer vild i de specielle udtryk.

Databeskyttelse gennem design betyder kort fortalt, at når en organisation skal iværksætte en persondatabehandling eller designe et nyt IT-system, så skal databeskyttelse tænkes ind fra starten, og ikke være noget, som bliver klasket på til sidst. Der skal tænkes i både tekniske og organisatoriske foranstaltninger, dvs. det handler ikke bare om at få en fin firewall, men også om at sikre procedurerne organisationen, så fx kun det absolut nødvendige antal medarbejdere kan få adgang til persondata.

Det andet element, databeskyttelse gennem standardindstillinger, er ofte mere kompliceret i karakter og handler kort fortalt om, at kun de nødvendige personoplysninger indsamles og behandles kun til det konkrete formål, de er indsamlet til. Det starter allerede ved indsamlingstidspunktet, hvor der ikke skal efterspørges mere data, end der er brug for. Så det skal overvejes, om det virkelig er nødvendigt at kende kundens fødselsdato blot for at sende nyhedsbreve og overvej ligeledes, hvilke data, I har brug for om jeres medarbejdere. Der er f.eks. ingen grund til at indhente helbredsoplysninger, medmindre man står i en aktuel sygdomssituation.

Profilering

En automatisk behandling af personoplysninger, hvor formålet er at evaluere bestemte personlige forhold, for eksempel arbejdsindsats, præferencer, købsadfærd på nettet, interesser. Profilering anvendes ofte til at fastslå personers forbrugs- eller adfærdsmønstre med henblik på direkte markedsføring. Et eksempel er, at indsamlede oplysninger via cookies fra besøgte hjemmesider bliver til konkrete tilbud målrettet den registrerede.

Pseudonymisering

En form for kryptering af personoplysninger, der gør, at dataene ikke længere kan henføres til en bestemt person uden brug af supplerende oplysninger. Det er dog en væsentlig detalje, at disse supplerende oplysninger opbevares utilgængeligt og separat fra persondataene for, at det kan betragtes som en pseudonymisering.

R

Register

Et sted, hvor der findes en struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier og dermed er søgbare.

Registrerede

Alle personer, hvis oplysninger er registreret hos en virksomhed eller organisation fx kunder, medarbejdere og leverandører.

Repræsentant

Kan være både en fysisk og juridisk person, der er blevet udpeget og skriftligt har bevis på, at denne repræsenterer den dataansvarlige eller databehandleren. Repræsentanten har samme forpligtelser som den dataansvarlige eller databehandleren.

Rettigheder og pligter

Med en ret følger der også en pligt. Så når fx en kunde eller en medarbejder benytter sig af sin rettighed, vil det altid betyde brug af ressourcer hos den dataansvarlige virksomhed. Den dataansvarlige skal jfr. forordningen træffe passende foranstaltninger, som sikrer at den registreredes rettigheder overholdes. En sådan passende foranstaltning kunne fx være at implementere en procedure for hvorledes virksomheden håndterer sine persondata.

Rettighederne (Oversigt over)

Hovedelementet i Forordningen er beskyttelsen af de registrerede, dvs. medarbejdere, kunder, leverandører, samarbejdspartnere mv, og den registrerede person får med forordningens ikrafttræden styrket sine rettigheder. Virksomheder, der behandler persondata, skal have etableret en procedure for, hvordan de vil imødekomme kravene i tilfælde af, at en registreret person ønsker at udøve sine rettigheder. I den nye EU persondataforordning er de registreredes rettigheder kort fortalt følgende:

•Ret til at blive oplyst om, at der indsamles og behandles personoplysninger i den pågældende virksomhed. •Ret til løbende at få indsigt i, hvordan ens oplysninger behandles. •Ret til at få berigtiget urigtige data og begrænset behandlingen. •Ret til at få slettet data. •Ret til at gøre indsigelse over at ens oplysninger behandles og videregives til fx markedsføringsformål. •Ret til at kunne få udleveret sine data, så de kan overflyttes til anden udbyder (dataportabilitet). •Ret til at tilbagekalde samtykke. •Ret til at klage til Datatilsynet.

Rigtighed

Der må ikke forefindes urigtige oplysninger, og den dataansvarlige er forpligtet til at rette dem omgående. Samtidig har enhver person også ret til at få rettet deres oplysninger omgående, hvis de finder ud af, at der er fejl.

Rimelighed

Enhver behandling af persondata skal være rimelig. Behandlingen af data skal ske på rimelig vis, og det betyder ikke bare, at loven skal overholdes. En databehandling kan godt være urimelig, selvom den er lovlig. Rimelighed kan vurderes af tilsynsmyndigheden på basis af den i samfundet på den tid herskende opfattelse af, hvad der er rimeligt, så det er en vurdering du med fordel selv kan foretage, når der skal behandles data.

Risikovurdering

For at opretholde sikkerheden og hindre behandling i strid mod Forordningen, bør den dataansvarlige eller databehandleren vurdere de risici, som en behandling indebærer og gennemføre foranstaltninger for at begrænse disse risici. En sådan foranstaltning kan for eksempel være at kryptere følsomme oplysninger. Når datasikkerhedsrisikoen vurderes, bør der tages hensyn til de risici, som behandling af personoplysninger indebærer, såsom hændelig eller ulovlig tilintetgørelse, tab, ændring eller uautoriseret videregivelse eller adgang til personoplysninger, som sendes, opbevares eller på anden måde behandles. Det er de oplysninger, som navnlig kan føre til fysisk, materiel eller immateriel skade (omdømmeskade), som udgør en høj risiko.

Fysisk, materiel eller immateriel skade kan for eksempel være:

• Tab af kontrol over personoplysninger eller begrænsning af rettigheder • Forskelsbehandling • Identitetstyveri eller svig • Finansielle tab • Skade på omdømme • Tab af fortrolighed for oplysninger, der er omfattet af tavshedspligt • Andre betydelige økonomiske eller sociale konsekvenser

S

Samtykke

Bliver givet af den registrerede, og er enhver frivillig, specifik, informeret og utvetydig viljeserklæring. Heri giver den registrerede bekræftelse på, at der indvilliges i, at personoplysninger omkring den pågældende bliver behandlet. Den registrerede har til enhver tid mulighed for at tilbagetrække sit samtykke.

Samtykkeerklæring vedr. billeder

En samtykkeerklæring er en erklæring, hvor den portrætterede person giver billedtageren ret til at anvende billedet på forskellige medier. Et samtykke kan gives mundtligt, elektronisk eller skriftligt. Det er dog billedtageren, virksomheden eller organisationen, der skal bevise, at der i den konkrete situation er afgivet samtykke, og at det i øvrigt lever op til Persondatalovens krav til et samtykke.

Sanktioner

Hvis Datatilsynet bliver bekendt med overtrædelser af GDPR har det en række sanktionsmuligheder. Det kan uddele advarsler, udtale kritik af virksomheder, pålægge virksomheder at rette op på forholdene - og endelig kan det politianmelde virksomheder, hvad der kan medføre bødestraf jf. Persondataloven.

Sikkerhedsbrud

Hvis der sker et sikkerhedsbrud f.eks. ved et hackerangreb eller et datalæk på internettet, så er reglen som ved førstehjælp:

Start med at standse ulykken.

Derefter - eller sideløbende dermed - skal myndighederne i visse tilfælde orienteres, og alle aspekter af sikkerhedsbruddet skal kunne dokumenteres.

En kompromittering af persondata som sandsynligvis indebærer en risiko for de registreredes rettigheder eller frihedsrettigheder, skal anmeldes. Hvis man f.eks. er udsat for et hackerangreb, hvor hackeren ikke får adgang til persondata, er der ikke noget at anmelde.

Situationsbillede

Situationsbilleder er billeder, der må offentliggøres uden samtykke fra de personer, som er afbildet. De defineres som billeder, hvor en given aktivitet eller situation er det egentlige hovedformål med billedet. Link til artikel, samtykke omkring billeder

Sletning af data (den registrerede har ret til at få slettet data)

Dette kaldes også retten til at blive glemt og er en konsekvens af EU's dom over Google i 2012. Det betyder, at den dataansvarlige skal slette oplysninger, hvis en registreret ønsker det. Det er ikke nok at læne sig tilbage og vente på en henvendelse fra en registreret. Den dataansvarlige skal også selv holde øje med, om betingelserne for en sletning er til stede.

Betingelser for at slette er følgende:

  • Oplysningerne er ikke længere nødvendige for opfyldelse af formålet for behandlingen
  • Behandlingen er ulovlig
  • Sletningen er lovpligtig
  • Den registrerede tilbagekalder sit samtykke
  • Den registrerede gør indsigelse og oplysningerne behandles til markedsføring
  • Du er udbyder af en informationssamfundstjeneste (f.eks. et socialt netværk), og du har baseret din behandling af personoplysninger om en registreret på et samtykke givet af den registreredes forældremyndighedsindehavere, og den registrerede tilbagekalder nu selv samtykket efter at være fyldt 13 år.

Link til Datatilsynet

Standard Contractual Clauses (SCC)

Alternativet til en BCR er en SCC, Kommissionens standardkontraktbestemmelse, som ligeledes sikrer, at der frit kan overføres data mellem de parter, der har indgået aftalen. Dette er i dag den mest anvendte kontraktform til overførsel og er stadig meget relevant, hvis der skal overføres persondata udenfor en koncern dvs. mellem en virksomhed og en fremmed virksomhed. En SCC kan desuden anvendes internt i en koncern men kun som en specifik enhed-til-enhed-aftale. Der kan altså samlet set blive tale om et stort antal SCC’er på tværs af en koncern. En SCC kræver langt mindre arbejde af de involverede virksomheder end en BCR.

T

Tilsynsmyndighed

En uafhængig offentlig myndighed, der er etableret i en medlemsstat i henhold til Forordningens Artikel 51. I Danmark er der tale om Datatilsynet.

Tilbagekaldelse af samtykke (den registrerede har ret til at tilbagekalde samtykke)

I nogle behandlingssituationer er det et krav, at der indhentes et samtykke fra den registrerede for at kunne behandle oplysningerne. Den registrerede har dog en ret til at ændre sin mening og til at tilbagekalde sit samtykke. (artikel 7) Denne ret skal den dataansvarlige informere om, når samtykket gives. Samtidig skal den dataansvarlige gøre det let at tilbagekalde samtykket, f.eks. som når man trykker på et link for at afmelde et nyhedsbrev. Efter tilbagekaldelsen skal oplysningerne straks slettes.

Tredjelande

I dag behandles meget data uden for EU og dermed udenfor forordningens virkeområde. Tredjelande er defineret som lande uden for EU og EØS-samarbejdet. Hvis persondata overføres til et tredjeland, gælder der særlige regler.

Tredjelande (sikre)

Data kan som sagt uden tilladelse overføres til såkaldt sikre 3. lande. Disse lande bliver udvalgt af EU-Kommissionen, og en oversigt findes på Kommissionens hjemmeside. Listen er meget kort og dækker Andorra, Argentina, Canada, Færøerne, Guernsey, Isle of Man, Israel, Japan, Jersey, New Zealand, Schweiz og Uruguay. Ud fra eksperternes vurdering forventes det ikke umiddelbart, at flere lande vil blive tilføjet listen. Kommissionen kan desuden udpege bestemte geografiske regioner eller sektorer i ellers usikre 3. lande og kategorisere disse som sikre, fx en provins eller by i Indien eller en bestemt erhvervssektor i Thailand. Kommissionen kan ligeledes anføre internationale organisationer som sikre fx Unicef, og på den måde kan kredsen af usikre 3. parter udvides.

Tredjelande (usikre)

For alle andre usikre 3. lande end USA gælder en række muligheder for (hjemler til) overførsel. Persondata kan overføres, hvis der: \1. er givet nødvendige garantier \2. med garantier plus godkendelse af myndighederne eller \3. i særlige situationer Nødvendige garantier kan gives på en række forskellige måder. Offentlige myndigheder kan benytte indbyrdes retligt bindende instrumenter, mens virksomheder kan bruge Binding Corporate Rules (BCR), standardkontraktbestemmelser (SCC) eller adfærdskodeks og certificerings-ordninger.

UV

Underdatabehandler

En databehandler har mulighed for at videregive en eller flere opgaver til en såkaldt underdatabehandler, der har mindst de samme forpligtelser som databehandleren. Dette er dog kun muligt, hvis den dataansvarlige har givet skriftlig godkendelse. Det skal understreges, at en underdatabehandler handler på vegne af den dataansvarlige og ikke databehandleren. Databehandleren bliver altså ikke dataansvarlig for underdatabehandleren, så at sige.

Det ses ofte, at en databehandler, benytter sig af flere underdatabehandlere, og en underdatabehandler kan også videregive opgaver til yderligere en underdatabehandler. I den sammenhæng er det værd at understrege, at ansvaret skal være klart fordelt i de indgåede databehandleraftaler, og at alle aftaler skal indeholde mindst de samme krav som den oprindelige aftale. Man kan ikke snyde sig udenom.

Urigtige data (hvordan den registrerede har ret til at få berigtiget urigtige data)

Hvis den registrerede finder fejl i data, skal disse rettes og eventuelt suppleres. Desuden skal alle modtagere af de pågældende data informeres om berigtigelsen. Kan den dataansvarlige dokumentere, at det er en uforholdsmæssig stor byrde at informere alle modtagere, er der en undtagelsesmulighed.

USA og Privacy Shield

Alle andre lande end (EU, EØS og sikre 3. lande) er at betragte som såkaldt usikre 3. lande. I den sammenhæng skal der opfyldes bestemte krav for at måtte overføre persondata. USA har imidlertid en særordning kaldet Privacy Shield. Under denne ordning kan amerikanske virksomheder tilmelde sig et selvcertificeringssystem, der gør, at europæiske virksomheder frit kan sende persondata til dem. De amerikanske virksomheder under certificeringsordningen bliver så kontrolleret af de amerikanske myndigheder for at sikre, at databeskyttelsen lever op til de europæiske standarder. Danske virksomheder skal huske at sikre sig, at relevante amerikanske firmaer er certificeret under Privacy Shield-ordningen, før der udveksles persondata. Husk igen, at det skal kunne bevises, at der er indgået en Privacy Shield-aftale. Canada har en lignende ordning.

XYZ

ÆØÅ

Adresse

Uraniavej 6
DK-8700 Horsens

CVR

CVR-nr. 38582356