Databeskyttelsesforordningen - Grundprincipperne

I dette afsnit fremgår det, hvilket formål Databeskyttelsesforordningen har og dermed også hvilke anvendelsesområder, den dækker over, både geografisk, men også materielt. Herefter bliver de vigtigste grundbegreber forklaret, så det bliver lettere at forstå Databeskyttelsesforordningen. Persondataforordningen vil uden tvivl kræve mange nye arbejdsmetoder og tankegange. Vi har i de efterfølgende afsnit uddybet de forskellige emner i de grundlæggende principper.

Det er afgørende, at de personer, der behandler persondata i virksomheden, er bekendt med og efterlever de grundlæggende principper for god databehandling. Det betyder, at tankegangen skal være, at man i databehandlingen ikke må gå længere, end det er nødvendigt for at varetage det konkrete formål med behandlingen, og at der bliver taget hensyn til de personer, det drejer sig om – de registrerede. Det er derfor nødvendigt at overveje virksomhedens nuværende fremgangsmåde med henblik på både at optimere behandlingen og overholde forordningens krav.

Indhold

Lovlighed - behandlingsbetingelser

For at behandling af persondata er lovlig, skal man have såkaldt hjemmel i et af punkterne i forordningens artikel 6. Det vil sige, at der skal være belæg for behandling i forordningen. Sagt med andre ord: Der er ifølge forordningen seks gode grunde (hjemler) til at behandle data. Hvis ingen af disse grunde passer på virksomhedens databehandling, så er behandlingen ulovlig. De seks hjemler er følgende:

  • Samtykke betyder kort fortalt, at den registrerede selv har indvilliget i, at vedkommendes data behandles.
  • Nødvendig for opfyldelse eller forberedelse af kontrakt, det vil f.eks. sige, hvis en kunde ønsker at købe en vare. Ved alt andet end kontant køb kan det ikke lade sig gøre at indgå i køb og salg, med mindre man kan behandle persondata.
  • Nødvendig for at overholde en retlig forpligtelse. Ved retlige forpligtelser af enhver art er dette punkt hjemmel for behandling af persondata.
  • Nødvendig for at beskytte den registreredes, f.eks. kundens, vitale interesser. Dette kan f.eks. gøre sig gældende, hvis en kunde skal beskyttes mod et stort økonomisk tab og kunden ikke selv er i stand til at reagere.
  • Nødvendig af hensyn til udførelse af opgave i samfundets interesse eller offentlig myndighedsudøvelse. Hvis en given opgave er blevet pålagt en virksomhed af det offentlige system, skal hjemlen findes i dette punkt.
  • Nødvendig for at forfølge legitim interesse, så længe denne ikke overstiger eksempelvis kundens interesse eller grundlæggende rettigheder (interesseafvejningsreglen). Denne hjemmel er vigtig, men potentielt meget farlig at bruge, for hvornår overgår virksomhedens interesse i f.eks. salg, kundens interesse i f.eks. privatliv? Det er nødvendigt at overveje dette i hvert tilfælde, hvor man vil gøre brug af denne hjemmel og det ville være en rigtig god ide at dokumentere sine overvejelser, hvis hjemlen skulle blive anfægtet.

Virksomheden skal foretage et bevidst valg om, hvilken eller hvilke hjemler, man vil basere sin persondatabehandling på. Der SKAL som sagt være hjemmel, ellers er behandlingen (og det inkluderer også opbevaring og sletning) ulovlig. Og hjemlen skal kunne holde til at blive målt og vejet af jurister.

For virksomheder vil det som oftest være samtykke, opfyldelse af kontrakt, retlig forpligtelse og interesseafvejning, som vil være de mest relevante hjemler.

Du skal være opmærksom på, at selvom din virksomhed overholder forordningen i sin databehandling, kan der være mulighed for, at en anden lov er overtrådt.

Rimelighed

Enhver behandling af persondata skal være rimelig. Det betyder, at behandlingen af data skal ske på rimelig vis og dette betyder ikke bare at loven skal overholdes. En databehandling kan godt være urimelig, selvom den er lovlig. Rimelighed kan vurderes af tilsynsmyndigheden på basis af den i samfundet på den tid herskende opfattelse af, hvad der er rimeligt, så det er en vurdering du med fordel selv kan foretage, når der skal behandles data.

Gennemsigtighed

Gennemsigtighed gør det nemmere for enhver at gennemskue, hvorfor de afgiver deres personlige oplysninger. Der er krav om, at man ikke må kræve unødige oplysninger og dermed skal angive hvorfor og til hvilket formål, man indsamler de pågældende oplysninger.

Den registrerede må ikke på noget tidspunkt være i tvivl om, at der behandles data om vedkommende. Samtidig skal det være let gennemskueligt for den registrerede, hvilke rettigheder, der tillægges personen i forbindelse med behandlingen.

Formålsbegrænsning

Der må ikke opbevares data, der ikke har noget reelt formål. Hvis dette sker, skal det slettes øjeblikkeligt. Alt data må kun benyttes til formål, der ikke strider imod indsamlingens oprindelige formål, og der må samtidig ikke indsamles data uden at opfylde oplysningspligten. Dette skyldes, at det skal være muligt for den registrerede at kunne forudse, hvad de givne oplysninger kan blive brugt til og hvilke oplysninger, der er adgang til.

Dataminimering

En virksomhed er kun berettiget til at indsamle tilstrækkelige, relevante og nødvendige data om personer. Der må således ikke indsamles data, der er unødvendige i forhold til formålet, samtidig med at behandlingen af data skal ske på et egnet grundlag. Der skal derfor, når der indsamles oplysninger, ske en konkret vurdering af, hvilke data, der er relevante for at opfylde formålet med indsamlingen.

Rigtighed

Der må ikke forefindes urigtige oplysninger, og den dataansvarlige er forpligtet til at rette dem omgående. Samtidig har enhver person også ret til at få rettet deres oplysninger omgående, hvis de finder ud af, at der er fejl.

Opbevaringsbegrænsning

Der stilles i Databeskyttelsesforordningen krav om, at persondata ikke må opbevares længere tid end nødvendigt for at kunne opfylde det formål, dataene er indsamlet til. Dette kræver i det fleste tilfælde en konkret vurdering af dataenes relevans, da der sjældent kan redegøres for, at data i samme kategori er nødvendige i lige lange perioder. Det anbefales derfor, at der fastsættes perioder for, hvornår der skal ske en revurdering af datas tilstrækkelighed og relevans.

Integritet og fortrolighed

Integritet er et overordnet udtryk for et systems evne til at nå frem til dets formål, det vil sige, om det system, der benyttes, generelt når frem til sit mål uden at beskæftige sig med unødvendige emner og dermed kun inkluderer relevant data. Det betyder også, at dataene skal behandles med ansvarlighed og dermed er det også vigtigt, at det kun er relevante personer, der har adgang til disse.

Under fortrolighed er det væsentligste fokus, at den registrerede kan vide sig sikker på, at den personlige data, som personen videregiver, behandles med fortrolighed og uvæsentlige personer hermed ikke får adgang til dataene.

Ansvarlighed

Ansvarlighed handler i bund og grund om, at behandle data på ansvarlig vis. Det betyder, at brug af sund fornuft, når man er i omgang med en anden persons personlige oplysninger, er helt centralt. Dette ansvar ligger hovedsageligt hos den dataansvarlige, hvis primære ansvar er, at alle data behandles i overensstemmelse med loven, uanset om det er den dataansvarlige selv, eller en anden databehandler, der håndterer dataene.

Databeskyttelsesforordningen formål

Hovedformålet med Forordningen er defineret i Artikel 1, og det er bl.a. at fastsætte regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og herunder også, hvordan den frie udveksling af personoplysninger skal foregå. Dette skal sikre, at udveksling af personoplysninger på tværs af Unionen bliver enklere og mere sikker, først og fremmest for den registrerede, men også virksomhederne imellem.

Et andet formål er ønsket om, at harmonisere reglerne på tværs af landene i EU, og derved øge datasikkerhedsniveauet.

Databeskyttelsesforordningen anvendelsesområder

Anvendelsesområderne for Forordningen fremgår af Artikel 2 og 3, hvor Artikel 2 afgrænser det materielle anvendelsesområde og Artikel 3 afgrænser det territoriale (geografien).

Artikel 2 angiver, at Forordningen finder anvendelse på enhver behandling af en hvilken som helst personoplysning. Dette er tilfældet, uanset om der er tale om en elektronisk eller manuel behandling.

Artikel 3 angiver, at enhver behandling af personoplysninger af en dataansvarlig eller en databehandler, der er etableret inden for EU, er omfattet af Forordningen. Dette gælder også selvom selve behandlingen finder sted uden for EU's grænser. Samtidig finder Forordningen anvendelse, hvis der sker behandling af en EU-borgers personoplysninger, ligegyldigt om behandleren er etableret i EU eller ej.

Databeskyttelsesforordningen grundbegreber

Forordningens Artikel 4 indeholder en række grundbegreber, der indgår i de efterfølgende artikler. Formålet med dette er at angive, hvordan betegnelserne skal fortolkes og dermed mindske tvivl. Da denne Forordning anvendes i hele EU og dermed i mange forskellige lande, kan det ikke undgås, at der kommer forskellige fortolkninger set i lyset af de sproglige forskelligheder, men også fordi der er forskellige kulturer og praksisser i de enkelte lande.

Her finder du definitionen af de vigtigste begreber i Forordningen – Definitionernes fulde ordlyd findes i Forordningens Artikel 4:

Personoplysninger: Enhver form for oplysning, der gør det muligt at identificere en person. Der arbejdes med to former for personoplysninger – almindelige oplysninger og følsomme oplysninger. Følsomme oplysninger benævnes i Forordningen som særlige kategorier af oplysninger. Eksempler på almindelige personoplysninger kan f.eks. være navn, adresse, telefon, mailadresse, fødselsdag, portræt fotos, uddannelse, erhverv, økonomiske forhold, IP-adresser (også dynamiske) mv.

Følsomme oplysninger er oplysninger om: Race og etnisk baggrund (ikke nationalitet), Politisk, religiøs eller filosofisk overbevisning, Fagforeningsmæssige tilhørsforhold, Helbredsforhold, Seksuel orientering, generisk (DNA) eller biometriske (fingeraftryk) data med henblik på unik identifikation. Der er pålagt skærpede krav til behandling af følsomme oplysninger, idet behandling af følsomme oplysninger som udgangspunkt er forbudt. Dog findes der en række undtagelser i Forordningen, bl.a. hvis der er indhentet udtrykkeligt samtykke fra den registrerede til behandling af følsomme oplysninger.

Fortrolige oplysninger: Fortrolige oplysninger er en særlig kategori af oplysninger, der ikke nævnes udtrykkeligt i databeskyttelsesreglerne, men hvor særlige beskyttelsesbehov kan have betydning ved anvendelsen af databeskyttelsesreglerne. Fortrolige oplysninger vil ofte være underlagt særregulering i anden lovgivning. Personnummer (CPR-nummer), oplysninger om strafbare forhold(straffeattest) er fortrolige oplysninger, der er særskilt reguleret i Databeskyttelsesloven.

Det afgørende for, om en oplysning skal anses for fortrolig, vil være en vurdering af, om oplysningen efter den almindelige opfattelse i samfundet bør kunne forlanges unddraget offentlighedens kendskab, jf. straffelovens § 152 sammenholdt med forvaltningslovens § 27. Følsomme personoplysninger vil utvivlsomt være fortrolige oplysninger. Omvendt er en fortrolig oplysning ikke altid følsom.

Ikke-følsomme personoplysninger kan i visse situationer være fortrolige. Det gælder efter omstændighederne oplysninger om indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold. Det samme gælder oplysninger om interne familieforhold, herunder for oplysninger om for eksempel selvmordsforsøg og ulykkestilfælde.

Genetiske data: Oplysninger omhandlende genetiske specifikationer hos den registrerede. Disse oplysninger stammer fra en biologisk prøve.

Biometriske data: Oplysninger, der giver information om den registreredes fysiske, fysiologiske eller adfærdsmæssige karakteristika, der gør det muligt at identificere en bestemt person. Dette kan for eksempel være et fingeraftryk eller iris-analyse.

Helbredsoplysninger: Oplysninger, der omhandler det fysiske og mentale helbred hos den registrerede.

Samtykke: Bliver givet af den registrerede, og er enhver frivillig, specifik, informeret og utvetydig viljeserklæring. Heri giver den registrerede bekræftelse på, at der indvilliges i, at personoplysninger omkring den pågældende bliver behandlet. Den registrerede har til enhver tid mulighed for at tilbagetrække sit samtykke.

Behandling: Enhver form for aktivitet en personoplysning bliver udsat for, her er det irrelevant om aktiviteten er elektronisk eller ej. Det kunne for eksempel være indsamling, ændring, adgang til, brug af, opbevaring, videregivelse eller sletning af persondata

Begrænsning af behandling: Den registrerede har under visse omstændigheder, for eksempel ved tvivl om rigtigheden af persondata, mulighed for at kræve, at behandlingen af dennes persondata bliver sat i bero, indtil uoverensstemmelsen er løst.

Profilering: En automatisk behandling af personoplysninger, hvor formålet er at evaluere bestemte personlige forhold, for eksempel arbejdsindsats, præferencer, købsadfærd på nettet, interesser. Profilering anvendes ofte til at fastslå personers forbrugs- eller adfærdsmønstre med henblik på direkte markedsføring. Et eksempel er, at indsamlede oplysninger via cookies fra besøgte hjemmesider bliver til konkrete tilbud målrettet den registrerede.

Kryptering: Kodning af beskeder eller data på en sådan måde, at det kun er den retmæssige modtager, der har mulighed for at afkode dem med en bestemt dekrypteringsnøgle. For oplysninger om korrekt kryptering besøg Datatilsynets hjemmeside.

Pseudonymisering: En form for kryptering af personoplysninger, der gør, at dataene ikke længere kan henføres til en bestemt person uden brug af supplerende oplysninger. Det er dog en væsentlig detalje, at disse supplerende oplysninger opbevares utilgængeligt og separat fra persondataene for, at det kan betragtes som en pseudonymisering.

Anonymisering: Uigenkaldelig afidentificering af persondata, som sikrer, at en fysisk person ikke længere kan identificeres via pågældende data.

Register: Et sted, hvor der findes en struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier og dermed er søgbare.

Dataansvarlig: Den, der afgør, til hvilket formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger. Der kan både være tale om en juridisk eller fysisk person, en offentlig myndighed, en institution eller et andet organ fx en virksomhed eller interesseorganisation.

Databehandler: En juridisk eller fysisk person, en offentlig myndighed, en institution eller et andet organ, der har til opgave at behandle personoplysninger på vegne af den dataansvarlige, fx et hosting center, et lønbureau, backup leverandør ect. En databehandler behandler således ikke personoplysningerne til egne formål og må derfor ikke bruge de overladte oplysninger til andet end udførelsen af opgaven for den dataansvarlige.

Datamodtager: En juridisk eller fysisk person, en offentlig myndighed, en institution eller et andet organ, der bliver videregivet personoplysninger til.

Brud på persondatasikkerheden: Et brud på sikkerheden, der medfører ulovlig omgang med personoplysninger. Dette kan for eksempel være en ulovlig ændring, videregivelse af data eller hacking.

Hovedvirksomhed: Hvis en dataansvarlig virksomhed er placeret i flere lande i EU, er det sted, hvor virksomhedens administrative hovedcenter ligger, at betragte som hovedvirksomheden. Træffes beslutninger om databehandlingens mål og midler i en anden del af virksomheden, vil det være den del, der betragtes som hovedvirksomhed i sammenhæng med persondatabehandling. I en koncern vil det som udgangspunkt være koncernens kontrollerende virksomhed (moderselskabet), der betragtes som hovedvirksomhed.

Repræsentant: Kan være både en fysisk og juridisk person, der er blevet udpeget og skriftligt har bevis på, at denne repræsenterer den dataansvarlige eller databehandleren. Repræsentanten har samme forpligtelser som den dataansvarlige eller databehandleren.

Koncern: En koncern består af en virksomhed, der udøver kontrol, og den eller de virksomheder, den kontrollerende virksomhed har kontrollen over.

Bindende virksomhedsregler: Regelsæt om beskyttelse af personoplysninger vedtaget i en koncern, hvis hovedvirksomhed er i EU og som har afdelinger i usikre 3. lande.

Tilsynsmyndighed: En uafhængig offentlig myndighed, der er etableret i en medlemsstat i henhold til Forordningens Artikel 51. I Danmark er der tale om Datatilsynet.

Grænseoverskridende behandling: Behandling af personoplysninger i en virksomhed på tværs af grænserne i EU eller behandling af data om personer i flere lande foretaget i én medlemsstat.

Forordningens Artikel 4 angiver definitionernes originale ordlyd.

Adresser

Sverigesvej 10
DK-8700 Horsens

Meterbuen 9-13
DK-2740 Skovlunde

CVR

CVR-nr. 38582356

Telefon