Hvad persondataforordningen betyder for dig – i et nogenlunde forståeligt sprog. (se den nørdede udgave nederst)
Persondata.
Persondata er information, som kan relateres til en specifik person. Persondata kan være navn, e-mail, data fra sociale medier, fysisk, psykologisk eller genetisk information, medicinske data, kulturel identitet, lokationer, bankoplysninger, IP-adresse og Cookies.
GDPR stiller meget strikse krav til virksomhedernes it-systemer og interne politikker om, hvordan data håndteres.
Hvad sker der med dine oplysninger?
Navn
Gemmes på sikkert drev.
CPR-nummer
Hvis du vælger, at jeg skal indhente dine sagsakter i kommunen og derfor har brug for dit cpr-nummer, er du nødt til at oplyse mig det over telefonen. Jeg må ikke modtage det på hverken sms eller mail.
Til brug for at modtage sagsakter, har jeg en sikker krypteret mail: majthorsen@protonmail.com
Adresseoplysninger
Adresseoplysninger gemmes på sikkert drev.
Bankoplysninger
Jeg beder ikke om dine bankoplysninger. Du har mulighed for at betale honoraret over såvel bank som MyShop/Mobilepay
Hvad gør jeg med de oplysninger, som jeg har om dig?
Jeg gemmer sagsakter på et sikkert drev, på min sikre krypterede emailadresse eller i e-boks.
Oplysningerne bliver slettet, så snart vores samarbejde er ophørt.
Såfremt jeg printer akter ud, vil de blive indleveret til sikker destruktion på Randers Genbrugscentral, hvor der er mulighed for at makulere papir med personfølsomme oplysninger.
Samtykke
Du skal give samtykke til at jeg behandler dine oplysninger. Det kan gøres mundtligt, men det sikreste for os begge 2 er, at der foreligger en skriftlig samtykkeerklæring.
Selve informationen i samtykkeerklæringen skal som minimum bestå i oplysninger om:
- Den dataansvarliges identitet (mig)
- Formålet med den påtænkte behandling
- Hvilke oplysninger, der behandles
- Hvilken behandling, der finder sted
Det er også et krav, at jeg oplyser dig om, at dit samtykke til enhver tid kan trækkes tilbage.
Jeg skal altid tilpasse informationen til den konkrete situation og skal derfor gøre sig klart, hvilke oplysninger, der indsamles og anvendes, formålet med behandlingen, eventuelle modtagere af oplysningerne (det er KUN mig der læser dine oplysninger), og hvordan den registrerede (dig) kan gøre brug af sine rettigheder om indsigt, tilbagekaldelse mv.
Den nørdede udgave af persondataforordning.
Hvornår gælder forordningen?
Databeskyttelsesforordningen gælder for behandling af oplysninger om personer, dvs. fysiske personer, som foretages af offentlige myndigheder og af private virksomheder, foreninger, mv.
Begrebet ”fysisk person” omfatter ikke kun et menneskeligt individ, men også enkeltmandsvirksomheder. Dette skyldes, at det i praksis ikke er muligt at skelne mellem oplysninger om ejeren som individ og oplysninger om virksomheden. Oplysninger om andre typer af virksomheder, f.eks. et A/S eller et ApS, er til gengæld ikke beskyttet af databeskyttelsesforordningen. Det samme gælder oplysninger om myndigheder.
Forordningen finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk behandling, og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register. Det er nemlig, når personoplysninger bruges på en måde, som gør dem let og hurtigt søgbare, at interessen for at beskytte dem aktualiseres.
Behandling af personoplysninger med henblik på aktiviteter, der falder uden for EU-retten mv., som f.eks. statens sikkerhed, er ikke omfattet af forordningen. Det samme gør sig gældende i forhold til myndigheders behandling af personoplysninger inden for det strafferetlige område. I sidstnævnte tilfælde finder Europa-Parlamentets og Rådets direktiv (EU) 2016/680 (retshåndhævelses-direktivet) anvendelse. Direktivet er gennemført i dansk ret ved lov nr. 410 af 27. april 2017.
Privatpersoners behandling af personoplysninger er i mange tilfælde også helt undtaget fra forordningen. Forordningen gælder således ikke for behandling af personoplysninger, som foretages af en fysisk person som led i rent personlige eller familiemæssige aktiviteter. Det vil sige, at de ikke har forbindelse med en erhvervsmæssig eller kommerciel aktivitet. Sådanne aktiviteter kan omfatte korrespondance og føring af en adressefortegnelse og i et vist omfang også sociale netværksaktiviteter og onlineaktiviteter.
I Danmark gælder databeskyttelsesforordningen som hovedregel, hvis
den dataansvarlige myndighed eller virksomhed m.v. er etableret i Danmark, og behandlingen af personoplysningerne foregår inden for EU’s område,
eller hvis der foretages behandling af oplysninger om personer, der befinder sig i Danmark, hvis behandlingen vedrører
udbud af varer eller tjenester til personer, der befinder sig i Danmark, eller der foretages overvågning af personers adfærd, hvis denne adfærd finder sted i Danmark.
Databeskyttelsesforordningen
6/20
I langt de fleste tilfælde vil en behandling af personoplysninger, som foregår i Danmark, være omfattet af den danske lovgivning, dvs. forordningen og eventuelle relevante danske særregler. Men der kan være situationer, hvor den dataansvarlige er etableret i et andet EU-land. I så fald vil det være lovgivningen i dette land, der gælder. Det betyder, at f.eks. Facebooks aktiviteter er reguleret af irsk lovgivning, fordi Facebook har sit europæiske domicil i Irland. Hvis sådanne forhold giver anledning til tvivl, kan Datatilsynet hjælpe.
Bemærk, at de andre EU-lande har gennemført eller er ved at gennemføre lignende supplerende lovgivning som i Danmark som følge af de mange steder i forordningen, hvor der er åbnet op for, at dette er en mulighed.
Dataansvarlig Typisk en virksomhed, offentlige myndighed eller andet organ, der – alene eller sammen med andre – afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.
Databehandler Typisk en virksomhed, offentlig myndighed eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne og efter instruks fra den dataansvarlige.
Databeskyttelsesforordningen
7/20
3.0 Hvad er en personoplysning?
Personoplysninger er enhver form for information, der kan henføres til bestemte personer, også selv om dette forudsætter kendskab til et personnummer, registreringsnummer eller lignende. Også oplysninger i form af f.eks. et billede eller et fingeraftryk er personoplysninger.
Selv om oplysninger som et navn eller en adresse er erstattet af en kode, er det stadig en personoplysning, hvis koden kan føres tilbage til den oprindelige personoplysning. F.eks. er oplysninger, der er krypteret, fortsat personoplysninger, så længe der er nogen, der kan gøre oplysningerne læsbare og identificere de personer, det drejer sig om.
Forordningen sondrer mellem følsomme og almindelige personoplysninger.
Race, etnisk oprindelse, politisk, religiøs el. filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, genetiske data, biometriske data mhp. entydig identifikation, helbredsoplysninger, seksuelle forhold eller orientering
Væsentlige sociale problemer, andre rent private forhold, økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold, bolig, bil, eksamen, ansøgning,CV, ansættelsesdato, stilling, arbejdsområde, arbejdstelefon, navn, adresse, fødselsdato,
Følsomme personoplysninger
Almindelige personoplysninger
Straffedomme og lovovertrædelser
Figur 1: En anden måde at se de forskellige kategorier af personoplysninger på. Jo højere oppe i trekanten oplysningerne er, desto strengere betingelser for at behandle dem.
3.1 Følsomme personoplysninger
Oplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. Det er kun de oplysninger, der er nævnt her, der anses for følsomme oplysninger i forordningen.
Databeskyttelsesforordningen
8/20
3.2 Almindelige personoplysninger
De personoplysninger, der ikke falder ind under kategorien ”følsomme personoplysninger”, kan kaldes ”almindelige personoplysninger”. Almindelige personoplysninger kan f.eks. være identifikationsoplysninger som f.eks. navn og adresse, oplysninger om økonomiske forhold, kundeforhold eller andre lignende ikke-følsomme oplysninger.
3.3 Oplysninger om strafbare forhold
Oplysninger om strafbare forhold kan være en oplysning om, at en person har begået en bestemt lovovertrædelse, men det kan også f.eks. være en oplysning om, at en person har adresse i et fængsel. Med andre ord er der tale om en oplysning om strafbare forhold, hvis det ud fra oplysningen kan udledes, at en person har begået noget strafbart. Regler om behandling af oplysninger om strafbare forhold fremgår ikke af forordningen, men vil blive fastsat i de enkelte lande.
3.4 Oplysninger om CPR-nummer
Regler om behandling af nationalt identifikationsnummer (i Danmark CPR-nummer) fremgår ikke af forordningen. Forordningen giver de enkelte lande mulighed for selv at fastsætte regler herom.
3.5 Klageadgang
Hvis man er utilfreds med den måde, ens personlige oplysninger er blevet behandlet på, kan man klage til Datatilsynet, som derefter undersøger sagen og træffer en afgørelse.
Databeskyttelsesforordningen
9/20
4.0 Hvad er behandling af personoplysninger?
Begrebet ”behandling” omfatter enhver form for håndtering af personoplysninger. Det er først og fremmest elektronisk behandling af oplysninger, der er omfattet af reglerne. Det kan f.eks. være indsamling, registrering, systematisering, opbevaring, søgning, brug, videregivelse eller sletning af oplysninger.
Det betyder bl.a., at en virksomhed, der stiller en server til rådighed, som oplysningerne opbevares på, også foretager en behandling af oplysningerne ved at opbevare dem.
Behandling kan også være offentliggørelse af oplysninger på en hjemmeside eller registrering af oplysninger i et elektronisk sags- og dokumenthåndteringssystem.
Forordningen indeholder 26 definitioner af en række af forordningens centrale begreber. Visse af begreberne er nyskabelser; andre enten svarer til eller er ændrede i forhold til den indholdsmæssige betydning, de har i dag. De to helt centrale begreber fra forordningen, som er gennemgået ovenfor (”personoplysning” og ”behandling”), hører til i gruppen af begreber, hvor forordningens definitioner i vidt omfang svarer til, hvad der er gældende ret i dag. Det samme gør sig gældende med begreberne ”dataansvarlig” og ”databehandler”.
Databeskyttelsesforordningen
10/20
5.0 Hvornår må man behandle personoplysninger?
Reglerne for, under hvilke betingelser offentlige myndigheder og private virksomheder, foreninger m.v. må behandle personoplysninger, er i vidt omfang skønsmæssige. Det vil derfor ofte afhænge af en konkret vurdering i den enkelte situation, om betingelserne for at behandle personoplysninger er opfyldt. Er man i tvivl, kan man søge råd hos Datatilsynet. Når en offentlig myndighed eller en privat virksomhed m.v. behandler personoplysninger, er der nogle generelle og grundlæggende principper, som altid skal være opfyldt. Reglerne giver ikke i sig selv nogen ret til at behandle personoplysninger, men hvis en behandling kan finde sted på grundlag af en af de øvrige regler i loven, skal de grundlæggende principper altid være opfyldt.
De grundlæggende principper er:
5.1 Lovlighed, rimelighed og gennemsigtighed
Den dataansvarlige skal overholde reglerne for behandling af oplysninger og skal give let tilgængelig information om behandlingen af oplysninger. Det indebærer bl.a., at den person, der behandles oplysninger om, som udgangspunkt skal have oplyst, hvem der er ansvarlig for behandlingen af oplysninger, og hvad der er formålet med behandlingen.
5.2 Formålsbegrænsning
Når der indsamles oplysninger, skal den dataansvarlige gøre sig klart, hvilke formål oplysningerne indsamles til, og det skal være saglige formål. Man må ikke indsamle oplysninger med den begrundelse, at det måske senere kan vise sig nyttigt at være i besiddelse af oplysningerne. Det er i første omgang den virksomhed eller myndighed mv., der indsamler oplysninger, som skal vurdere, om en bestemt indsamling af oplysninger er saglig. Det kan bl.a. bedømmes ud fra, om indsamlingen sker i forbindelse med løsningen af en opgave, som det er naturligt for virksomheden eller myndigheden at løse.
5.3 Dataminimering
Behandlingen af personoplysninger skal begrænses til det, der er nødvendigt for at opfylde formålet.
Databeskyttelsesforordningen
11/20
5.4 Rigtighed
Oplysningerne skal være rigtige og ajourførte, og hvis oplysningerne viser sig at være urigtige, skal de som udgangspunkt slettes eller berigtiges.
5.5 Opbevaringsbegrænsning
Personoplysninger skal slettes eller gøres anonyme, når det ikke længere er nødvendigt for den dataansvarlige at have oplysningerne. Det er i første omgang op til den enkelte dataansvarlige at vurdere, hvor længe det er nødvendigt at opbevare oplysningerne ud fra det formål, som oplysningerne oprindelig blev indsamlet til.
5.6 Integritet og fortrolighed
Oplysninger skal beskyttes mod uautoriseret eller ulovlig behandling, ligesom det skal sikres, at oplysninger ikke går tabt eller bliver beskadiget.
Forordningen indeholder en række regler om, hvornår man må indsamle og registrere personoplysninger, videregive dem osv. Også andre regelsæt end forordningen kan indeholde regler om, at en behandling af personoplysninger kan eller skal finde sted. Hvilke regler man skal følge i den enkelte situation, afhænger af oplysningernes karakter og formålet med databehandlingen.
Samtykke er ofte anvendt som grundlag for at kunne behandle personoplysninger, og andre eksempler på lovligt behandlingsgrundlag kan være, at det er nødvendigt for at opfylde en aftale, f.eks. for at ekspedere en ordre, eller fordi det er en del af den offentlige myndighedsudøvelse, f.eks. i forbindelse med skatteansættelse.
Samtykke
I mange tilfælde vil man kunne give samtykke til behandling af personoplysninger, uanset hvilke oplysninger det drejer sig om.
En anmodning om samtykke skal være let tilgængelig og forståelig og være i et klart og enkelt sprog.
Der behøver ikke at være tale om et skriftligt samtykke, men den dataansvarlige skal kunne bevise, at der er givet samtykke.
Et samtykke kan til enhver tid trækkes tilbage. Herefter må den dataansvarlige ikke længere behandle oplysninger på grundlag af samtykket, men i nogle tilfælde kan der være et andet behandlingsgrundlag, f.eks. myndighedsudøvelse.
Inden man giver samtykke, skal man have oplysning om, at samtykket kan trækkes tilbage. Det skal være lige så let at trække samtykket tilbage som at give det.
Ved udbud af informationssamfundstjenester til børn gælder der særlige regler om samtykke.
Databeskyttelsesforordningen
12/20
Det er vigtigt at være opmærksom på, at begrebet “behandling” dækker over en række forskellige måder at håndtere personoplysninger på. Har man ret til at foretage én bestemt form for databehandling – f.eks. indsamling – af oplysninger, medfører det ikke automatisk, at man også har ret til at foretage andre former for behandling – f.eks. videregivelse – af de samme oplysninger. Normalt giver det ikke anledning til tvivl, at når en offentlig myndighed eller privat virksomhed må indsamle bestemte oplysninger, så må den også systematisere, registrere, bruge og slette dem. Men det er f.eks. ikke uden videre givet, at oplysningerne også må videregives til andre. Dette skal vurderes særskilt på baggrund af reglerne om behandling.
Databeskyttelsesforordningen
13/20
6.0 De registreredes rettigheder
Databeskyttelsesforordningen indeholder i kapitel 3 regler, som giver den enkelte registrerede en række rettigheder over for de myndigheder, virksomheder, foreninger m.v., som behandler oplysninger om den pågældende. Reglerne har til formål at styrke den enkelte persons retsstilling, bl.a. ved at skabe åbenhed omkring behandlingen af oplysninger og ved at give registrerede personer adgang til at gøre indsigelse over for nærmere bestemte former for behandling af oplysninger
De vigtigste rettigheder er:
Retten til at modtage oplysning om en behandling af sine personoplysninger (oplysningspligt) Retten til at få indsigt i sine personoplysninger (indsigtsret) Retten til at få urigtige personoplysninger berigtiget (retten til berigtigelse) Retten til at få sine personoplysninger slettet (retten til at blive glemt) Retten til at gøre indsigelse mod at personoplysninger anvendes til direkte markedsføring Retten til at gøre indsigelse mod automatiske individuelle afgørelser, herunder profilering Retten til at flytte sine personoplysninger (dataportabilitet)
For alle rettighederne gælder, at når en myndighed eller virksomhed mv. opfylder dem, skal det ske i en kortfattet, letforståelig og lettilgængelig form og i et klart og enkelt sprog. Det gælder særligt, hvis oplysningerne er specifikt rettet mod et barn. Hvis en person henvender sig til den dataansvarlige og f.eks. beder om indsigt, berigtigelse, sletning, mv. af oplysninger, skal den pågældende hurtigst muligt – og normalt senest efter en måned – have besked om, hvad der vil blive gjort som følge af henvendelsen.
Om nogle af rettighederne kan særligt fremhæves følgende:
6.1 Ret til at få besked om, at der behandles personoplysninger (oplysningspligt)
Den enkelte registrerede skal som udgangspunkt have besked om, at der behandles oplysninger om den pågældende. Man skal bl.a. have besked om, hvem der er dataansvarlig, om formålet med behandlingen, om eventuelle modtagere af oplysningerne, mv.
6.2 Ret til at se oplysninger (indsigtsret)
Den registrerede kan bede om at få at vide, hvilke oplysninger om den pågældende selv, som en myndighed eller virksomhed mv. behandler. Hvis den registrerede beder om det, skal der også gives en udskrift eller kopi af oplysningerne.
Databeskyttelsesforordningen
14/20
6.3 Ret til at få oplysninger rettet eller slettet (retten til at blive glemt)
Hvis der behandles forkerte oplysninger om en person, kan den pågældende bede om at få oplysningerne rettet. Desuden har man i visse tilfælde ret til at få personoplysninger slettet. Det kan f.eks. være, hvis oplysningerne ikke længere er nødvendige til at opfylde de formål, hvortil de blev indsamlet, hvis et samtykke, som er nødvendigt for behandlingen, trækkes tilbage eller hvis behandlingen er ulovlig.
6.4 Ret til at transmittere oplysninger (dataportabilitet)
Den registrerede har ret til at modtage personoplysninger om sig selv i et struktureret, almindeligt anvendt og maskinlæsbart format og har ret til at transmittere oplysningerne til en anden myndighed eller virksomhed. Den registrerede kan også bede om at få oplysningerne sendt direkte fra den dataansvarlige til en anden myndighed eller virksomhed.
6.5 Begrænsninger i rettigheder
I særlige situationer gælder de almindelige rettigheder ikke. Det kan f.eks. skyldes hensyn til den offentlige sikkerhed, hensyn til efterforskning eller tilsyn, eller forretningshemmeligheder og andre hensyn til private interesser. Endvidere er de enkelte rettigheder i visse tilfælde begrænset. Som eksempler kan nævnes, at oplysningspligten under visse omstændigheder kan begrænses af ressourcemæssige hensyn, at retten til dataportabilitet ikke gælder behandling, der er nødvendig i forbindelse med offentlig myndighedsudøvelse, og at retten til sletning bl.a. er begrænset i forhold til offentlige myndigheders behandling af personoplysninger.
For nærmere oplysninger om de registreredes rettigheder henvises til Datatilsynets hjemmeside og den vejledning om emnet, der vil blive udarbejdet i begyndelsen af 2018.
Databeskyttelsesforordningen
15/20
7.0 Hvad med behandlingssikkerheden?
For at opretholde sikkerheden og hindre behandling i strid med reglerne om beskyttelse af personoplysninger, bør den dataansvarlige vurdere de risici, som en behandling indebærer, og gennemføre foranstaltninger, der kan begrænse disse risici, f.eks. kryptering.
For nærmere oplysninger om reglerne om persondatasikkerhed, databeskyttelse gennem design og standardindstillinger, konsekvensanalyser mv. henvises til Datatilsynets hjemmeside og de vej-ledninger, der vil blive udarbejdet om disse emner. Ved tvivl kan man endvidere altid rette henvendelse til Datatilsynet.
Behandlingssikkerhed
Brug og håndtering af personoplysninger skal foregå betryggende og med et passende niveau af sikkerhed og privatlivsbeskyttelse. Sikkerhedsniveauet skal afspejle den konkrete risiko for, at oplysningerne stjæles, mistes, skades, eller behandles ulovligt.
Hvis risikoen må antages at være stor, må behandlingen af personoplysninger ikke påbegyndes, før der er gennemført en konsekvensanalyse vedrørende databeskyttelse og eventuelt en høring af Datatilsynet.
Når it-løsninger designes og udvikles, skal databeskyttelse tænkes ind fra starten, og standardindstillinger skal sikre, at der kun behandles de personoplysninger, som er nødvendige i forhold til formålet med behandlingen.
Hvis det går galt, og man som dataansvarlig bliver bekendt med et brud på persondatasikkerheden, skal man uden unødig forsinkelse give besked til Datatilsynet og i visse tilfælde også til de personer, hvis oplysninger er berørt af sikkerhedsbruddet. Databehandlere, som bliver bekendt med et brud på persondatasikkerheden, skal uden unødig forsinkelse underrette den dataansvarlige.
Databeskyttelsesforordningen
16/20
8.0 Andre særlige nyskabelser?
8.1 Fortegnelser over behandlingsaktiviteter
Den pligt, der er efter persondataloven i dag til i visse situationer at foretage anmeldelse til Data-tilsynet, forsvinder med databeskyttelsesforordningen. Der lægges i stedet op til anden ordning, som indebærer, at den dataansvarlige og databehandleren i visse tilfælde skal føre interne fortegnelser over deres behandling af personoplysninger. Dette er i tråd med forordningens risikobaserede tilgang og fokus på ansvarlighed (”accountability”).
I Justitsministeriets betænkning nr. 1565 af 24. maj 2017 om databeskyttelsesforordningen findes på side 461 et eksempel på en fortegnelse hos en dataansvarlig. For nærmere oplysninger om, hvem der skal udarbejde en fortegnelse og indholdet af en sådan henvises endvidere til Datatilsynets hjemmeside og den vejledning, der vil blive udarbejdet.
8.2 Konsekvensanalyser
Virksomheder skal foretage en konsekvensanalyse forud for databehandlinger, s
Seneste kommentarer