GDPR

Hvad betyder databehandling for din virksomhed?

Behandler du personoplysninger? Og er du virksomhedsejer? Så er du omfattet af databeskyttelsesforordningen, og derfor er det er dit ansvar som dataansvarlig, at lovgivningen overholdes.

Siden databeskyttelsesforordningen fik virkning i Danmark d. 25. maj 2018, er der kommet stort fokus på, om man som virksomhed overholder databeskyttelsesforordningens krav til persondatabehandling.

Har du ikke allerede fokus på overholdelse af de persondataretlige regler i din virksomhed, er det derfor vigtigt, at du får kendskab til reglerne nu – og det kan vi hjælpe med!

GDPR – hvad betyder det, og hvorfor er det vigtigt?

GDPR står for General Data Protection Regulation - også kaldet Databeskyttelsesforordningen.

På grund den øgede teknologiske udvikling steg behovet for en harmoniseret retlig regulering af behandlingen af personoplysninger i EU for at beskytte personoplysninger bedst muligt. På den baggrund blev databeskyttelsesforordningen vedtaget, og siden da har der været øget fokus på persondatabehandling. I Danmark er forordningen suppleret af databeskyttelsesloven.

Forordningens formål er at styrke beskyttelsen af de registreredes personoplysninger, herunder at sikre borgerne kontrol over deres persondata.

Hvis du som virksomhedsejer behandler kunder og ansattes personoplysninger, er du derfor omfattet af databeskyttelsesforordningen, og det er dit ansvar, at lovgivningen overholdes. Derfor er det vigtigt, at du har kendskab til databeskyttelsesforordningens regler.

Hvad er personoplysninger?

Som nævnt regulerer databeskyttelsesforordningen personoplysninger.

Men hvad er personoplysninger?

Personoplysninger er alle oplysninger, der kan bruges til at identificere en person. Grundlæggende kan navn, adresse og mailadresse henføres til en bestemt person. Men også oplysninger, der i sammenhæng med andre oplysninger vil kunne identificere en person, kategoriseres som en personoplysning.

I persondataretten skildres der mellem 3 former for personoplysninger:

1. Almindelige personoplysninger
2. Særlige kategorier af oplysninger (følsomme oplysninger)
3. Oplysninger om straffedomme og lovovertrædelser

Almindelige personoplysninger omfatter alle de oplysninger, der ikke kan kategoriseres som følsomme personoplysninger. Almindelige personoplysninger kan derfor være navn, adresse, økonomi, skat, familieforhold, arbejdsområde m.m.

Følsomme personoplysninger er bl.a. oplysninger om politisk overbevisning, fagforeningsmæssige tilhørsforhold eller helbredsoplysninger.

Behandler jeg personoplysninger?

Behandling af personoplysninger udgør enhver form for håndtering af personoplysninger. Det kan f.eks. være indsamling, opbevaring, sletning, brug og videregivelse.

Enhver behandling af personoplysninger kræver derfor kendskab og overholdelse af de databeskyttelsesretlige regler.

Hvem er ansvarlig for behandlingen - er jeg dataansvarlig eller databehandler?

For at sikre databeskyttelsen har vi persondatarettens 2 vigtige aktører:

1. Den dataansvarlige
2. Databehandleren

Det er vigtigt at skildre mellem de to aktører, idet kravene er forskellige. Sondringen er også vigtig for den registrerede (dvs. den der behandles personoplysninger om), da den dataansvarlige skal sikre beskyttelsen af den registreredes personoplysninger.

Den dataansvarlige bestemmer, med hvilke formål, hvordan og af hvem personoplysninger må behandles. Den dataansvarlige har altså bestemmelsesretten og rådighedsretten og skal være med til at sikre passende tekniske og organisatoriske sikkerhedsforanstaltninger til forordningens overholdelse.

Databehandleren behandler personoplysninger på vegne af den dataansvarlige, dvs. handler efter instrukser fra den dataansvarlige. Databehandleren besidder ofte de teknologiske kundskaber, som den dataansvarlige har brug for.

Som dataansvarlig skal du ved brug af en databehandler udforme en databehandleraftale for at sikre en korrekt behandling af personoplysninger. Den skal bl.a. omfatte formålet med behandlingen, typen af personoplysning, forpligtelser og rettigheder.

Er du i tvivl om, hvem der er den dataansvarlige og databehandleren i din virksomhed, eller ved du ikke, hvordan en databehandleraftale laves, kan du komme ind og få en snak med en af vores advokater.

Hvornår må jeg behandle personoplysninger?

Behandling af personoplysninger kræver et behandlingsgrundlag, dvs. en hjemmel for behandling. Uden et behandlingsgrundlag kan du ikke lovligt behandle personoplysninger.

Et behandlingsgrundlag kan f.eks. være et samtykke, der er afgivet frivilligt, specifikt, informeret og utvetydigt. Det betyder, at din kunde skal vide, til hvilket formål og i hvilken sammenhæng personoplysningen kan blive brugt. Kunden skal altså vide, hvad der samtykkes til. Og samtykket skal samtidig være tilstrækkeligt informeret, så kunden forstår omfanget af brugen.

Anvendes et samtykke som behandlingsgrundlag, vil det være dig som dataansvarlig, der skal bevise, at der er afgivet et gyldigt samtykke, der opfylder de førnævnte betingelser.

Oftest bruges et samtykke, men det vil dog ikke altid være det mest optimale behandlingsgrundlag, idet et samtykke til enhver tid kan trækkes tilbage.

Hjemlen for behandlingen kan bl.a. være begrundet i, at behandlingen er nødvendig af hensyn til opfyldelse af en kontrakt, overholdelse af en retlig forpligtelse eller en legitim interesse, hvor interessen i at behandle personoplysninger vejer tungere end hensynet til den registreredes interesse og rettigheder.

Hvilket behandlingsgrundlag, der ligger til grund for din persondatabehandling, er ikke afgørende. Det afgørende er, at der er et lovligt behandlingsgrundlag.

Hvad skal jeg være opmærksom på, når der behandles personoplysninger?

Der er mange forskellige aspekter i persondataretten.

Den dataansvarlige er ansvarlig for, at databeskyttelsesforordningens principper overholdes.

Men ‘hvilke principper’, tænker du måske.

De databeskyttelsesretlige principper fastsætter generelle rammer og danner et grundlæggende fundament for en lovlig behandling. Principperne indebærer bl.a., at man skal udvise god databehandlingsskik, herunder at behandlingen skal være gennemsigtig. Gennemsigtighed betyder, at den registrerede skal være bekendt med de risici, regler, garantier og rettigheder, som behandlingen indebærer.

Derudover er man underlagt formålsbegrænsningsprincippet, hvilket betyder, at man alene må indsamle oplysninger til udtrykkeligt, oplyste og legitime formål. Man må derfor ikke bruge personoplysninger til andre formål, end hvad de er indsamlet til.

Et andet vigtigt princip er proportionalitetsprincippet, som fortæller, at personoplysningerne skal være nødvendige til den konkrete behandling, hvorfor man ikke må indsamle eller gemme oplysninger, der er uden relevans.

Derudover er den registrerede i forordningen tillagt en række rettigheder, og det er dit ansvar som dataansvarlig, at lovgivningen overholdes.

Som dataansvarlig er du bl.a. underlagt en oplysningspligt. Det betyder, at du skal give en række oplysninger og information til de registrerede. Oplysningspligten indebærer, at du bl.a. skal oplyse om den dataansvarliges identitet, formålet med dataindsamlingen, behandlingsgrundlaget, tidsrum for opbevaring, m.m.

Et redskab til at efterleve oplysningspligten kan være din persondatapolitik. Og derfor bør du have fokus på, om din persondatapolitik opfylder forordningens krav.

Det er især vigtigt, at du:

• Fører en fortegnelse over behandlingsaktiviteter, dvs. skriver aktiviteter ned til brug for dokumentation for, at reglerne efterleves
• Efterlever oplysningspligten, herunder oplyser om, hvem der er den dataansvarlige, hvordan og hvorfor personoplysninger behandles
• Kan dokumentere passende tekniske og organisatoriske sikkerhedsforanstaltninger, herunder tillige dokumentation af konkrete procedurer for håndteringen af evt. sikkerhedsbrud
• Kan dokumentere, at lovgivningens principper for god databehandling efterleves

Hvilken konsekvens har det, hvis jeg ikke overholder loven?

Manglende overholdelse af forordningen sanktioneres med bøde. I Danmark er det Datatilsynet, der holder øje med, om reglerne følges.

I januar 2021 udgav Datatilsynet i samarbejde med Rigsadvokaten og Rigspolitiet en bødevejledning til brug for overtrædelse af databeskyttelsesforordningen.