Databeskyttelse i henhold til GDPR

Den generelle forordning om databeskyttelse indeholder detaljerede krav til virksomheder og organisationer om indsamling, opbevaring og forvaltning af personoplysninger. Reglerne gælder både for europæiske organisationer, der behandler oplysninger om enkeltpersoner i EU, og organisationer uden for EU, der beskæftiger sig med personer i EU.

I hvilke tilfælde gælder den generelle forordning om databeskyttelse?

Den generelle forordning om databeskyttelse gælder, hvis:

  • din virksomhed behandler personoplysninger og er beliggende i EU, uanset hvor den faktiske behandling af personoplysninger finder sted
  • din virksomhed er etableret uden for EU, men behandler personoplysninger i forbindelse med salg af varer eller tjenesteydelser til enkeltpersoner i EU eller overvåger enkeltpersoners adfærd i EU.

Virksomheder etableret uden for EU, som behandler oplysninger om EU-borgere skal udpege en repræsentant i EU.

I hvilke tilfælde gælder den generelle forordning om databeskyttelse ikke?

Den generelle forordning om databeskyttelse gælder ikke, hvis:

  • den registrerede er død
  • den registrerede er en juridisk person
  • behandlingen af oplysningerne foretages af en person, der ikke handler som led i sin erhvervsmæssige virksomhed

Hvad regnes som personoplysninger?

Personoplysninger er alle oplysninger om en identificeret eller identificerbar person – også kaldet den registrerede. Personoplysninger omfatter oplysninger som:

  • navn
  • adresse
  • ID-kort-/pasnummer
  • indkomst
  • kulturel profil
  • IP-adresse
  • data opbevaret på et hospital eller hos en læge (der entydigt identificerer personen til sundhedsformål).

Særlige kategorier af data

Du må ikke behandle oplysninger om en persons:

  • race eller etniske oprindelse
  • seksuelle orientering
  • politiske holdning
  • religiøse eller filosofiske synspunkter
  • medlemskab af en fagforening
  • genetiske data, biometriske data og helbredsoplysninger bortset fra i særlige tilfælde (f.eks. hvis du har fået udtrykkelig tilladelse, eller hvis det er nødvendigt at behandle oplysningerne af hensyn til væsentlige samfundsinteresser på grundlag af EU-retten eller national ret)
  • personoplysninger forbundet med straffedomme og lovovertrædelser, medmindre det er tilladt ifølge EU-retten eller national ret.

Hvem behandler personoplysningerne?

I forbindelse med databehandling kan personoplysninger sendes gennem flere forskellige virksomheder eller organisationer. Inden for denne cyklus er der to primære profiler, der håndterer behandlingen af personoplysninger:

  • Den registeransvarlige - som beslutter formålet med og metoden for behandling af personoplysninger.
  • Databehandleren - som opbevarer og behandler data på vegne af den registeransvarlige.

Hvem fører tilsyn med, hvordan personoplysninger behandles i en virksomhed?

Den databeskyttelsesansvarlige, som kan være udpeget af virksomheden, har ansvaret for at føre tilsyn med, hvordan personoplysninger behandles, og informere og rådgive ansatte, som behandler personoplysninger, om deres forpligtelser. Den databeskyttelsesansvarlige samarbejder også med databeskyttelsesmyndigheden, som fungerer som kontaktpunkt for den databeskyttelsesansvarlige og enkeltpersoner.

Hvornår skal man udpege en databeskyttelsesansvarlig?

Din virksomhed har pligt til at udpege en databeskyttelsesansvarlig, hvis:

  • I regelmæssigt eller systematisk overvåger enkeltpersoner eller behandler særlige kategorier af data
  • Denne behandling er en central aktivitet i virksomheden
  • I behandler data i stort omfang.

Hvis I f.eks. behandler personoplysninger med henblik på målrettet markedsføring gennem søgemaskiner baseret på personers onlineadfærd, har I pligt til at udpege en databeskyttelsesansvarlig. Hvis I derimod kun sender markedsføringsmateriale til jeres kunder en gang om året, er det ikke nødvendigt med en databeskyttelsesansvarlig. Hvis du er læge og indsamler data om dine patienters helbred, har du ligeledes ikke brug for en databeskyttelsesansvarlig. Men hvis du behandler personoplysninger om genetik og sundhed for et hospital, skal du have en databeskyttelsesansvarlig.

Den databeskyttelsesansvarlige kan være en ansat i din organisation eller en ekstern kontrahent, der udfører hvervet på grundlag af en tjenesteydelseskontrakt. En databeskyttelsesansvarlig kan være en enkeltperson eller en del af en organisation.

Databehandling for en anden virksomhed

En registeransvarlig må kun benytte en databehandler, der tilbyder tilstrækkelige garantier, som skal angives i en skriftlig aftale mellem de involverede parter. Aftalen skal også indeholde en række obligatoriske klausuler, som f.eks. at databehandleren kun behandler personoplysninger, når den registeransvarlige anmoder om det.

Videregivelse af data uden for EU

Når personoplysninger videregives uden for EU, vil den databeskyttelse, der følger med den generelle forordning om databeskyttelse, fortsat gælde. Det vil sige, at hvis du eksporterer data ud af EU, skal din virksomhed sørge for, at et af følgende forhold gør sig gældende:

  • Databeskyttelsen i landet uden for EU anses for passende af EU.
  • Din virksomhed træffer de nødvendige foranstaltninger for at sikre de fornødne garantier såsom at indføre specifikke klausuler i den indgåede aftale med importøren af personoplysninger i landet uden for EU.
  • Din virksomhed har særlige årsager til videregivelse (undtagelser), f.eks. hvis den pågældende person har givet sit samtykke.

Hvornår er det tilladt at behandle data?

Ifølge EU's databeskyttelsesregler skal du behandle data på en rimelig og lovlig måde med et specifikt og legitimt formål og kun behandle de data, der er nødvendige for at opfylde dette formål. For at behandle data skal én af følgende betingelser være opfyldt:

  • Du har fået tilladelse af den pågældende person.
  • Du har brug for personoplysningerne for at opfylde en kontraktlig forpligtelse med den pågældende person.
  • Du har brug for personoplysningerne for at opfylde en lovmæssig forpligtelse
  • Du har brug for personoplysningerne for at beskytte den pågældendes vitale interesser.
  • Du behandler personoplysningerne for at udføre en opgave af almen interesse.
  • Du handler i din virksomheds legitime interesser under forudsætning af, at den pågældende persons grundlæggende rettigheder og friheder ikke påvirkes væsentligt. Hvis personens rettigheder vejer tungere end din virksomheds interesser, må du ikke behandle vedkommendes personoplysninger.

Aftale om databehandling – samtykke

Den generelle forordning om databeskyttelse indeholder strenge regler om behandling af data på grundlag af samtykke. Formålet med reglerne er at sikre, at den pågældende person forstår, hvad han eller hun giver samtykke til. Det betyder, at samtykke skal gives som en frivillig, specifik, oplyst og entydig tilkendegivelse gennem en anmodning i et klart og enkelt sprog. Samtykke skal gives i form af en bekræftelse såsom et afkrydsningsfelt online eller en underskrift på en papirformular.

Når en person giver samtykke til behandling af personoplysninger, må du kun behandle oplysninger med det formål, vedkommende har givet samtykke til. Du skal også give vedkommende mulighed for at trække sit samtykke tilbage.

Åbenhed

Du skal give de registrerede klar information om, hvem der behandler deres personoplysninger, og hvorfor. Du skal som minimum oplyse følgende:

  • hvem du er
  • hvorfor du behandler deres personoplysninger
  • hvad retsgrundlaget er
  • hvem, der modtager dataene (hvis relevant)

I visse tilfælde skal du også angive:

  • kontaktoplysninger for en eventuel databeskyttelsesansvarlig
  • hvad virksomhedens legitime interesse er, hvis dette er årsagen til databehandlingen
  • hvilke foranstaltninger, I har benyttet, ved videregivelse af data til et land uden for EU
  • hvor længe dataene opbevares
  • hvilke databeskyttelsesrettigheder den registrerede har (dvs. retten til indsigt, berigtigelse, sletning, begrænsning, indsigelse, portabilitet osv.)
  • hvordan samtykket kan trækkes tilbage (hvis samtykke er retsgrundlaget for behandlingen)
  • hvorvidt der er en lov- eller aftalebestemt forpligtelse til at levere dataene
  • i tilfælde af automatiske afgørelser, information om logikken ved og betydningen og konsekvenserne af afgørelsen.

Du skal fremlægge disse informationer i et klart og enkelt sprog.

Særlige regler om børn

Hvis du indsamler personoplysninger om et barn på grundlag af samtykke, f.eks. gennem en konto på et socialt medie, skal du først have forældrenes samtykke, f.eks. ved at sende en meddelelse til en forælder eller værge. Grænsen for, hvor længe en person anses som et barn, varierer fra land til land, men ligger på mellem 13 og 16 år.

Retten til adgang og retten til dataportabilitet

Du skal sørge for, at de registrerede har adgang til deres personoplysninger uden omkostninger. Hvis du får en anmodning om adgang til personoplysninger, skal du:

  • fortælle om du behandler vedkommendes personoplysninger
  • fortælle vedkommende om behandlingen (formålet med behandlingen, kategorier af personoplysninger, modtagere af oplysningerne osv.)
  • give vedkommende en kopi af de personoplysninger, der behandles (i et tilgængeligt format).

Når databehandlingen foretages på grundlag af samtykke eller en aftale, kan personen bede dig om at tilbagelevere personoplysningerne eller videregive dem til en anden virksomhed. Det kaldes retten til dataportabilitet. Du skal levere dataene i et almindeligt anvendt og maskinlæsbart format.

Ret til berigtigelse og til indsigelse

Hvis en person mener, at hans eller hendes personoplysninger er ukorrekte, fejlagtige eller ufuldstændige, har vedkommende ret til at få dem berigtiget eller suppleret hurtigst muligt.

Hvis personoplysningerne ændres eller slettes, skal du informere alle, du har delt oplysningerne med. Hvis nogen af de personoplysninger, du har delt med andre, er ukorrekte, skal du muligvis også gøre andre, der har set disse oplysninger, opmærksom på det (medmindre det vurderes at ville kræve en uforholdsmæssig stor indsats).

En person kan også når som helst gøre indsigelse mod behandling af hans eller hendes personoplysninger til et bestemt formål, når din virksomhed behandler dem på grundlag af jeres legitime interesser, eller til en opgave i offentlighedens interesse. Medmindre jeres legitime interesser vejer tungere end personens interesse, skal du stoppe behandlingen af personoplysningerne.

En person kan også bede om, at behandlingen af personoplysninger begrænses, mens det afgøres, om jeres legitime interesser vejer tungere end hans eller hendes interesser. I tilfælde af direkte markedsføring har du dog altid pligt til at standse behandlingen af personoplysninger, hvis personen beder dig om det.

Ret til sletning (retten til at blive glemt)

I nogle tilfælde kan en person bede den registeransvarlige om at slette vedkommendes personoplysninger, f.eks. hvis oplysningerne ikke længere er nødvendige til databehandlingsformål. Din virksomhed har dog ikke pligt til at slette dem, hvis:

  • behandlingen er nødvendig for at overholde ytrings- og informationsfriheden
  • du er nødt til at beholde personoplysningerne for at overholde en juridisk forpligtelse
  • der er andre grunde af offentlig interesse til at gemme personoplysningerne, som f.eks. til sundhedsmæssige, videnskabelige eller historiske formål
  • du er nødt til at gemme personoplysningerne for at fremsætte et retskrav

Automatiske afgørelser og profilering

En person har ret til ikke at blive underlagt afgørelser, der alene er baseret på automatisk behandling. Der er dog visse undtagelser til denne regel, f.eks. hvis personen har givet sit udtrykkelige samtykke til den automatiske afgørelse. Medmindre den automatiske afgørelse er baseret på en lov, skal din virksomhed:

  • informere vedkommende om den automatiske afgørelse
  • give vedkommende ret til at få den automatiske afgørelse gennemgået af en person
  • give vedkommende mulighed for at gøre indsigelse mod den automatiske afgørelse.

Hvis en bank for eksempel træffer en automatisk afgørelse om, hvorvidt den vil yde lån til en bestemt person, så skal denne person informeres om den automatiske afgørelse og have mulighed for at gøre indsigelse mod den og anmode om menneskelig medvirken.

Brud på datasikkerheden – korrekt underretning

Der er tale om et brud på datasikkerheden, hvis de personoplysninger, som du har ansvaret for, videregives, enten ved et uheld eller ulovligt, til uautoriserede modtagere eller gøres midlertidigt utilgængelige eller ændres.

Hvis der sker et brud på datasikkerheden og bruddet udgør en risiko for personens rettigheder og friheder, skal du underrette din datatilsynsmyndighed inden for 72 timer, efter at du bliver opmærksom på bruddet.

Alt efter om bruddet på datasikkerheden udgør en høj risiko eller ej for de berørte personer, kan din virksomhed også have pligt til at informere alle de berørte personer.

Besvarelse af forespørgsler

Hvis din virksomhed modtager en anmodning fra en person, som vil gøre brug af sine rettigheder, skal du besvare den hurtigst muligt og under alle omstændigheder inden for en måned fra modtagelsen af anmodningen. Hvis anmodningen er kompleks eller der indkommer mange anmodninger, kan svartiden forlænges til to måneder, så længe personen informeres om forlængelsen. Anmodninger skal behandles gratis.

Hvis en anmodning afvises, skal du informere personen om årsagen til at afvise den og om vedkommendes ret til at indgive en klage til databeskyttelsesmyndigheden.

Konsekvensanalyser

Det er obligatorisk at gennemføre en konsekvensanalyse vedrørende databeskyttelse, hvis den planlagte behandling vil indebære en høj risiko for personens rettigheder og friheder, f.eks. hvis der anvendes nye teknologier.

Der er en høj risiko, hvis:

  • der anvendes automatisk behandling og profilering til at evaluere personer
  • der foretages omfattende overvågning af et offentligt tilgængeligt område (f.eks. intern TV-overvågning)
  • særlige kategorier af data eller personoplysninger forbundet med straffedomme og lovovertrædelser behandles i stort omfang (f.eks. sundhedsdata).

Bemærk: Databeskyttelsesmyndighederne kan også vurdere, at andre kategorier af databehandling indebærer en høj risiko.

Hvis de foranstaltninger, der er angivet i konsekvensanalysen vedrørende databeskyttelse, ikke fjerner alle de udpegede høje risici, skal databeskyttelsesmyndigheden høres, inden den planlagte databehandling udføres.

Registrering

Du skal være i stand til at bevise, at din virksomhed handler i overensstemmelse med den generelle forordning om databeskyttelse, og at den opfylder alle sine forpligtelser – særligt hvis databeskyttelsesmyndigheden anmoder om det eller udfører en kontrol.

Det kan du for eksempel gøre ved at føre et detaljeret register over bl.a.:

  • navn og kontaktoplysninger på den virksomhed, der er involveret i databehandlingen
  • årsager til behandlingen af personoplysninger
  • beskrivelse af kategorierne af personer, der stiller personoplysninger til rådighed
  • kategorier af organisationer, der modtager personoplysninger
  • videregivelse af personoplysninger til et andet land eller en anden organisation
  • periode for opbevaring af personoplysningerne
  • beskrivelse af de sikkerhedsforanstaltninger, der er anvendt til behandling af personoplysningerne

Din virksomhed skal også have – og regelmæssigt opdatere – skriftlige procedurer og retningslinjer og gøre jeres ansatte bekendt med dem.

Advarsel

Hvis din virksomhed er en SMV en eller mikrovirksomhed, behøver I ikke føre register over jeres databehandling, så længe den:

  • ikke foretages regelmæssigt
  • ikke berører de pågældende personers rettigheder og friheder
  • ikke vedrører følsomme oplysninger eller strafferegisteroplysninger

Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger

Databeskyttelse gennem design betyder, at din virksomhed skal tage højde for databeskyttelsen tidligt i processen, når I planlægger nye måder at behandle personoplysninger på. Ifølge dette princip skal den registeransvarlige træffe alle de nødvendige tekniske og organisatoriske skridt for at implementere principperne om databeskyttelse og beskytte enkeltpersoners rettigheder. Disse skridt kan f.eks. omfatte brug af pseudonymisering.

Databeskyttelse gennem standardindstillinger betyder, at din virksomhed altid skal sørge for at have de mest databeskyttelsesvenlige indstillinger som standardindstillinger. Hvis der f.eks. er mulighed for to forskellige privatlivsindstillinger, og den ene af indstillingerne sikrer, at andre ikke kan få adgang til personoplysningerne, skal denne indstilling være standardindstillingen.

Overtrædelse af reglerne og sanktioner

Manglende overholdelse af den generelle forordning om databeskyttelse kan føre til store bøder på op til 20 millioner euro eller 4 % af din virksomheds globale omsætning for visse overtrædelser. Databeskyttelsesmyndigheden kan pålægge yderligere korrigerende foranstaltninger som f.eks. påbud mod behandling af personoplysninger.

Spørgsmål og svar – Databeskyttelse og beskyttelse af personoplysninger på nettet Linket fører til en anden website

EU-lovgivning

Har du brug for støtte fra hjælpetjenesterne?

Kontakt de specialiserede hjælpetjenester

Få råd om, hvilke EU-regler der gælder for din virksomhed/løs problemer med en offentlig myndighed

Har du spørgsmål vedrørende drift af en grænseoverskridende virksomhed, f.eks. eksport eller udvidelse til et andet EU-land? Så kan Enterprise Europe Network tilbyde dig gratis rådgivning.

Du kan også bruge vejviser til bistandstjenester til at finde den rette hjælpe- eller rådgivningstjeneste.

Senest tjekket: 06/07/2022
Del denne side