GDPR - persondataordbog

EU persondataforordningen - GDPR (General Data Protection Regulation) er en af de største og mest omfattende ændringer i beskyttelsen og reguleringen af personlige data i nyere tid. Der er meget at tage stilling til og også en del nye ord. Derfor har Dansk Revision – i samarbejde med Revisorjura – udarbejdet en ordbog med en stor del af de mest gængse ord, så du altid har et opslagsværk ved hånden.

Persondata er de oplysninger, som i praksis kan henføres til en bestemt person

 

Kort sagt om persondata, så er det alle oplysninger, som i praksis kan henføres til en bestemt person. Det er derfor også persondata, selvom personen som udgangspunkt ikke er kendt og kun kan identificeres ved hjælp af tekniske hjælpemidler i form af eksempelvis software, der på baggrund af data fra forskellige kilder, kan regne ud, at oplysningen drejer sig om personen.

Generelt set er enhver brug af persondata en "behandling af persondata", og da alle automatiske og elektroniske behandlinger af persondata skal overholde persondatareglerne, skal stort set al automatisk og elektronisk brug af persondata også gøre det.

GDPR ORDBOG

Behandling af persondata

Stort set enhver brug af persondata udgør en ’behandling’ af persondata, og da alle behandlinger af persondata skal overholde persondatareglerne, skal stort set alle former for brug af persondata gøre det samme.

Et eksempel på behandling af persondata er afsendelse til en kollega af en e-mail, som indeholder navn på en kunde. At tale med en kollega omkring personlige forhold er dog ikke en behandling, som kræver overholdelse af reglerne.

Behandlingshjemmel / retsgrundlag

Enhver behandling af persondata skal have en behandlingshjemmel / et retsgrundlag, og det betyder, at enhver brug af persondata kræver, at du har en lovlig grund til brugen. Det betyder, at du ikke må bruge persondata, hvis du ikke har en grund, som er godkendt i persondatareglerne.

Du vil dog ofte have en lovlig grund, du skal bare huske altid at være klar over hvilken.

Cookies

Cookies er programmer, som placeres på en computer, når computeren opretter forbindelse med en hjemmeside, som bruger cookies. De bruges til at indsamle data om computeren og brugeren af computeren.

Dataansvarlig

Den dataansvarlige er den person eller virksomhed, som bestemmer hvorfor og hvordan en given databehandling skal foretages.

Selvom du f.eks. har outsourcet hele din lønadministration til et eksternt lønbureau, og al databehandlingen foregår hos dem, er du stadig dataansvarlig. Det er du, fordi du bestemmer, at dine medarbejderes persondata skal bruges til lønadministration, samt at lønadministrationen skal foretages af lønbureauet.

Databehandler

Databehandleren er den person eller virksomhed, som foretager en databehandling på foranledning af den dataansvarlige.

Fra eksemplet med lønbureauet, er det eksterne lønbureau databehandler for din virksomhed, fordi det behandler persondata på din foranledning.

Databehandleraftale

Hvis du bruger en databehandler, skal du sikrer dig, at det altid sker på baggrund af en databehandleraftale, som beskriver en række forhold omkring databehandlingen, bl.a. hvorfor og hvordan databehandleren må behandle persondata på dine vegne.

Databeskyttelsesloven

Den lov, som erstatter persondataloven, og som kommer til at gælde sammen med persondataforordningen.

Persondata

Persondata er alle oplysninger, som i praksis kan henføres til en bestemt person.

En oplysning om en person er derfor persondata, uanset om den kun kan relateres til personen, hvis du har andre oplysninger om personen eller tekniske hjælpemidler såsom software, der på baggrund af en masse data fra forskellige kilder kan regne ud, at oplysningen drejer sig om personen. F.eks. kan selv markafgrøder dyrket på en bestemt landejendom efter omstændighederne udgøre en personoplysning.

Oplysninger om en person, som er gjort anonyme gennem tilstrækkelig kryptering, så personen ikke kan identificeres, er ikke persondata.

Persondataforordningen

Persondataforordningen eller GDPR er de regler fra EU, som gælder fra 28. maj 2018, og som erstatter det Persondatadirektiv.

Persondatareglerne

De regler, du som dansk virksomhed skal følge.

Før 28. maj 2018 gjaldt persondatadirektivet og persondataloven, men fra 28. maj 2018 blev persondatadirektivet erstattet af persondataforordningen, mens persondataloven blev erstattet af databeskyttelsesloven.

Principper for behandling af persondata

Principperne for behandling af persondata skal altid overholdes, uanset hvorfor du behandler persondata. Det gælder også, selvom du har samtykke til at behandle persondata om en person.

  1. Lovlighed, rimelighed og gennemsigtighed.

    Du må kun behandle persondata, hvis du har en lovlig grund til det (fra persondatareglerne), og alle forhold omkring databehandlingen (hvilke oplysninger, hvordan de indsamles, hvorfor de indsamles osv.) skal altid være gennemskuelige for den registrerede person.

  2. Formålsbegrænsning.

    Du må kun indsamle persondata, hvis du ved præcis, hvorfor du gør det. Årsagen til indsamlingen skal give mening i forhold til den opgave, som du vil bruge oplysningerne til. Du må ikke bruge persondata, som du har indsamlet til én opgave, til at udføre en anden.

  3. Dataminimering.

    Du skal indsamle så lidt persondata, som overhovedet muligt i forhold til det, som du vil opnå med oplysningerne.

  4. Rigtighed.

    Du skal kontrollere, at du ikke behandler persondata, som er forkerte eller misvisende. Hvis en kontrol viser, at du behandler forkerte eller misvisende persondata, skal du slette eller rette dem.

  5. Opbevaringsbegrænsning.

    Persondata skal slettes, hvis de ikke længere er nødvendige for den opgave, som var grunden til indsamlingen.

  6. Integritet og fortrolighed.

    Behandling af persondata skal være sikker. Du skal derfor indføre både IT-sikkerhed og sikkerhed i forhold til medarbejdere og interne procedurer, som sørger for, at persondata ikke bliver tilgængelig for uvedkommende personer, og som sørger for, at persondata ikke ændres eller slettes utilsigtet.

  7. Ansvarlighed.

    Hvis du behandler persondata, er du ansvarlig for at respektere den registrerede persons rettigheder, og du skal derfor kunne påvise og dokumentere, at din behandling af persondata overholder persondatareglerne.

Den registrerede person

Den person, som der behandles persondata om.

Den registrerede persons rettigheder

Den registrerede person har gennem persondatareglerne visse rettigheder, som du skal overholde.

  1. Oplysningsforpligtelsen.

    Den registrerede person har ret til – i forbindelse med indsamlingen af persondata – at blive oplyst om visse forhold omkring den behandling af persondata, som du foretager om vedkommende.

  2. Indsigtsretten.

    Den registrerede person har – med visse undtagelser – ret til at spørge og få svar på visse forhold ved den behandling af persondata, som du foretager om vedkommende.

  3. Retten til berigtigelse.

    Den registrerede person har ret til at få rettet i de persondata, som du behandler om vedkommende, hvis de er forkerte eller misvisende. Hvis oplysningerne skal rettes, skal du give besked om det til alle, som du har videregivet oplysningerne til.

  4. Retten til at blive glemt.

    Den registrerede person har – under visse omstændigheder – ret til at få slettet persondata, som du behandler om vedkommende. Hvis oplysningerne skal slettes, skal du give besked om det til alle, som du har videregivet oplysningerne til.

  5. Retten til begrænsning af behandling.

    Den registrerede person har – under visse omstændigheder – ret til at kræve, at du kun opbevarer, og dermed ikke bruger, persondata om vedkommende, mens du vurderer, om personen har ret til at få slettet eller rettet eller spørge om de persondata, som du har om vedkommende.

  6. Retten til dataportabilitet.

    Den registrerede har ret til at få persondata, som personen har givet til dig, udleveret i et struktureret og maskinlæsbart format - f.eks. word- eller pdf-dokument. Hvis det er teknisk muligt, har personen ret til at kræve, at du udleverer oplysningerne i det nævnte format direkte til en anden dataansvarlig.

Samtykke

Samtykket er en behandlingshjemmel / et retsgrundlag, som giver ret til at behandle persondata om den, som har samtykket til det.

  1. Frivilligt.

    Du må ikke bruge tvang eller udnytte et afhængighedsforhold for at få et samtykke. F.eks. må du som arbejdsgiver ikke stille en fyring i udstilling, hvis medarbejderen ikke vil give samtykke til behandling af medarbejderens persondata.

  2. Specifikt.

    Samtykket skal være formuleret, så det klart fremgår af teksten præcis hvilken type af behandling, hvilken dataansvarlig, og hvilken grund til behandling, der gives samtykke til.

  3. Informeret.

    Den, der samtykker til behandling af persondata, skal være klart og tydeligt informeret om præcis, hvad der gives samtykke til. Hvis ikke det kan dokumenteres, at der er givet tilstrækkelig information forinden, er samtykket ugyldigt, og databehandlingen er ulovlig.

  4. Nyt samtykke.

    Samtykket skal indhentes på ny, hvis nogle af de forhold, som er informeret om eller er formuleret i samtykketeksten, ændrer sig. Man kan ikke genbruge et samtykke givet til én databehandling til en anden.

Videregivelse

Hvis du giver en anden virksomhed adgang til persondata, som du behandler om den registrerede person, når det ikke er fordi, virksomheden skal behandle dem på dine vegne. Du foretager med andre ord videregivelse, hvis du overfører persondata til en anden virksomhed, så virksomheden kan bruge dem til formål, som du ikke bestemmer. Den anden virksomhed er derfor ikke din databehandler, men en selvstændig dataansvarlig.


Om GDPR og persondata


  • GDPR kan være ensbetydende med en masse regler, og de kan være vanskelige for en lille virksomhed at gennemskue.

  • GDPR handler først og fremmest om at sikre dine kunders og dine ansattes personoplysninger.

  • Dine kunder kan anmelde din virksomhed til Datatilsynet.

  • Alle der regelmæssigt behandler personoplysninger er omfattet af GDPR.

  • Du skal kunne dokumentere, at I efterlever GDPR-lovgivningens mange regler.

  • Hvis din virksomhed ikke efterlever GDPR kan der udstedes bøder på op til 20 millioner euro eller 4 % af den globale omsætning.

Dansk Revision er en landsdækkende kæde med lokale GDPR-eskperter. Mennesker med en solid uddannelse i GDPR og et god forståelse for din virksomheds persondata. Få hjælp til GDPR og persondata i din virksomhed. Vi skaber overblikket og sikrer, at du overholder den aktuelle lovgivning på området for persondata.