FAQ

GDPR er slet ikke så svært at forstå, som nogen siger. Derfor har vi valgt at lave en FAQ over de mest almindelige begreber og spørgsmål.

Når du bruger finger touch, afgiver du persondata

GDPR behøver ikke være så svært…

Mange har en tendens til at overgøre GDPR og gøre det meget sværere, end det er. Her har vi samlet nogle af de spørgsmål, vi typisk får – og har du et spørgsmål, må du meget gerne sende det til os på info@lexoforms.com – så får vi det på hurtigst muligt. Klik på det emne, du vil vide mere om.

Data

Hvis en registreret person finder fejl i data, skal disse rettes og eventuelt suppleres, ligesom alle modtagere af de pågældende data skal informeres om berigtigelsen. Dette kan dog undtages, hvis den dataansvarlige kan dokumentere, at det er en uforholdsmæssig stor byrde at informere alle.

Persondata må ikke opbevares i længere tid end nødvendigt for at kunne opfylde det formål, dataene er indsamlet til. Dette kræver ofte en individuel vurdering, der dog skal kunne dokumenteres.

Hvis en registreret person tilbagekalder sit samtykke eller gør indsigelse, skal den dataansvarlige som hovedregel aktivt slette alle oplysninger om vedkommende. Men den dataansvarlige skal også selv løbende holde øje med, om der er data, der skal slettes. Her er det vigtigt at have virksomhedens slettepolitik in mente. Det kan fx være fordi:

  • dataene er ikke længere nødvendige
  • behandlingen er ulovlig
  • sletningen er lovpligtig

Når personoplysninger slettes, må de ikke længere være tilgængelige. Så hvis de efter sletning fx kan tilgås af en administrator, er det ikke en reel sletning.

Data lagres ofte i en database og en brugerrettet del som fx en lokal pc, og her er det vigtigt at vurdere begge dele, da en såkaldt ”soft delete”, hvor data kun slettes lokalt, ikke er en rigtig sletning. Omvendt opfattes de som slettet, selvom de stadig ligger lokalt, hvis bare de er slettet på det bagvedliggende operativsystem. For så er de ikke længere tilgængelige med rimelige midler.

Du kan læse mere om sletning af persondata på Datatilsynets hjemmeside her.

I må som virksomhed kun indsamle tilstrækkelige, relevante og nødvendige data om personer. I må således ikke indsamle data, der er unødvendige i forhold til formålet. Derfor skal I, når I indsamler data, konkret vurdere hvilke data, der er relevante for at opfylde formålet med indsamlingen – og hvilke, der ikke er.

Hvis du selv har givet dine data til en dataansvarlig, har du ret til at få dem udleveret i et læsevenligt format. Samtidig har du også i visse tilfælde ret til at anmode om, at dine personoplysninger overføres til en anden dataansvarlig.

Du må kun behandle de persondata, du har hjemmel – retligt grundlag – for at behandle. Hjemlen afhænger af, hvilken type personoplysninger du behandler, og hvilket formål du har med at behandle oplysningerne.

De tre typer af personoplysninger er:
  • almindelige oplysninger
  • følsomme oplysninger
  • oplysninger om straffedomme og lovovertrædelser mv.

Der gælder forskellige regler for de forskellige typer af personoplysninger. Læs mere om typer af persondata her.

Det er vigtigt at huske, at retten til at behandle data til et bestemt formål ikke automatisk giver ret til at behandle data til andre formål. For at behandle personoplysninger skal dit formål være dækket af mindst et af følgende forhold:

De seks forhold er:
  1. Samtykke fra den registrerede – hvis du behandler data på baggrund af samtykke, skal du være opmærksom på, at der er en række krav, der skal opfyldes*.
  2. Behandlingen er nødvendig af hensyn til en kontrakt – kontrakt kan fx være i forbindelse med et ansættelsesforhold.
  3. Behandlingen er nødvendig af hensyn til en retlig forpligtelse – fx en fordi den dataansvarlige kan følge en anden lov som hvidvaskloven eller bogføringsloven.
  4. Behandlingen er nødvendig af hensyn til en persons vitale interesser – fx i forbindelse med sygdom
  5. Behandlingen er nødvendig af hensyn til samfundets interesse eller offentlig myndighedsudøvelse – gælder primært offentlige myndigheder, der behandler oplysninger om borgere.
  6. Behandlingen er nødvendig af hensyn til en legitim interesse som ikke overgås af den registreredes interesse eller rettigheder – også kaldet interesseafvejningsreglen. Her skal foretages en vurdering af den dataansvarliges interesse og hensynet til den registrerede, fx, når den dataansvarlige deler et billede uden personen på billedets samtykke.

* Du kan downloade Datatilsynets vejledning om samtykke (maj 2021) her.

En juridisk eller fysisk person, en offentlig myndighed, en institution eller et andet organ, der bliver videregivet personoplysninger til.

I første omgang bør du henvende dig til den ansvarlige virksomhed eller myndighed. Har de opdaget det og gjort noget for at begrænse skaden? Og har de anmeldt det til datatilsynet?

Hvis du ikke er tilfreds med den måde, virksomheden har håndteret bruddet, kan du klage til Datatilsynet.

I mange tilfælde sker der ikke nogen skade ved et databrud, men hvis du mistænker, at du kan være blevet udsat for identitetstyveri (eller risikerer at blive det) er det vigtigt, at du straks søger hjælp. Det kan du gøre hos sikkerdigital.dk.

Datatilsynet

Datatilsynet er både kontrol- og tilsynsmyndighed i Danmark, men fungerer også som klageinstans ift. enkeltpersoner. Desuden arbejder de også med information og vejledning om datasikkerhed og lovgivning på området mm.

Datatilsynet fører tilsyn med, at myndigheder, virksomheder og andre dataansvarlige og databehandlere overholder reglerne i databeskyttelsesforordningen, databeskyttelsesloven og retshåndhævelsesloven mv. – og de udfører både planlagte og ad hoc-tilsyn.

De har hjemmel til både at begrænse og i værste fald forbyde jeres behandling af persondata, hvis de vurderer, at den ikke er i overensstemmelse med GDPR.

Datatilsynet har en række sanktionsmuligheder overfor overtrædelser af GDPR i form af advarsler og kritiske udtalelser om virksomheden til pålæg om at rette op på forholdene og egentlig politianmeldelse med risiko for bødestraf.

Datatilsynet har en række sanktionsmuligheder ved overtrædelser af GDPR – fra advarsler og kritiske udtalelser om virksomheden over pålæg om at rette op på forholdene til egentlig politianmeldelse med risiko for bødestraf.

Virksomheden kan få bøder, der findes i to kategorier afhængigt af omfang og grad af overtrædelsen. I første kategori er bøden op til € 10 mill. eller 2 % af den globale omsætning, alt efter hvad der er højest. I den anden kategori er niveauerne € 20 mio. eller 4 % af omsætningen.

I Danmark kan Datatilsynet ikke selv give bøden, men skal først politianmelde virksomheden. Det betyder til gengæld, at virksomheden risikerer stor presseomtale, selvom sagen ender uden bøde.

Alle kan anmelde en virksomhed, der ikke lever op til GDPR. Datatilsynet er den øverste myndighed i Danmark, der fører tilsyn med virksomheder, ligesom de laver bødepålæg.

Hvis I har haft et databrud, og persondata er blevet kompromitteret, skal Datatilsynet orienteres af den dataansvarlige indenfor 72 timer. Det kan gøres elektronisk på virk.dk

I blanketten skal du bl.a. oplyse:

  • Karakteren af bruddet
  • Navn på og kontaktoplysninger for medarbejderen, hvor yderligere oplysninger kan indhentes
  • De sandsynlige konsekvenser af bruddet
  • De foranstaltninger, som du har truffet eller foreslår truffet for at håndtere bruddet

I de fleste tilfælde, vurderer datatilsynet at sagen kan lukkes, og du vil modtage et brev med eventuelle anbefalinger som afslutning på hændelsen.

Du finder en trin-for-trin guide til anmeldelse på virk.dk’s hjemmeside her.

Datatilsynet screener løbende alle anmeldte brud og vurderer, om der skal gøres mere. Det kan være, de beder om supplerende oplysninger, men I de fleste tilfælde vurderer de, at den dataansvarlige har gjort nok og lukker sagen.

Alle virksomheder i Danmark kan blive udsat for tilsyn fra Datatilsynet, der fører tilsyn med, at myndigheder, virksomheder og andre dataansvarlige og databehandlere overholder GDPR. De bruger overordnet to typer tilsyn:

Planlagte tilsyn
Tilsyn, der er den del af den årlige tilsynsplanlægning, der både omfatter generelle tilsyn, samt tilsyn med fokus på specielle emner eller typer af fx dataansvarlige. Emnerne kan fx være TV-overvågning, hjemmesider eller beskyttelse af børn. Datatilsynet offentliggør hvert år deres særlige fokusområder.

Ad hoc-tilsyn
Iværksættes som følge af konkrete hændelser, som Datatilsynet bliver opmærksom på selv, eller fordi de får tips fra borgere og/eller pressen.

Du kan læse mere om tilsyn på Datatilsynets hjemmeside her.

Inden du klager til Datatilsynet over andres behandling af dine personoplysninger, bør du tage kontakt til den virksomhed, person, myndighed eller organisation, der har behandlet oplysningerne.

Hvis du efter kontakten stadig ønsker at klage, kan du med fordel bruge Datatilsynets klageformular.

Du finder Datatilsynets klageformular lige her.

Når du udfylder formularen, skal du oplyse, hvad du klager over, hvem du klager over, om du har været i kontakt med dem, dine egne kontaktoplysninger og til sidst skal du beskrive klagen og evt. vedhæfte bilag.

Dokumentation

Alle dataansvarlige og databehandlere har pligt til at udarbejde en fortegnelse over alle de aktiviteter i virksomheden, som indebærer behandling af persondata. Den skal give overblik over jeres behandlingsaktiviteter og samtidig bidrage til at dokumentere behandlingsaktiviteterne overfor fx Datatilsynet.

Juridisk er den officielle titel en Artikel 30-fortegnelse, men den kaldes også nogle gange bare en fortegnelse over behandlingsaktiviteter – og den er nærmest umulig at overskue i et almindeligt regneark.

Det er en god idé at inkludere et afsnit om fortrolighed i aftaler med samarbejdspartnere og medarbejdere – og at de også gælder efter aftalens ophør.

Der er hverken krav til udformningen af interne eller eksterne audits, men alle virksomheder skal løbende kontrollere, at alt stadig er ok i forhold til GDPR.

For nogle virksomheder, især it-virksomheder, der er underleverandører til andre virksomheder, kan det dog være relevant at få en ekstern audit af en ekstern ekspert.

Resultatet er en erklæring om, at virksomheden har styr på GDPR, hvilket kan være relevant overfor dataansvarlige og -behandlere, myndigheder, kunder, samarbejdspartnere og… pressen.

Det kan variere meget, hvad der skal indgå i en egenkontrol, da det afhænger af virksomhedstype og af, hvilke og hvor meget data I indsamler, opbevarer og behandler. Men herunder kan du finde nogle af de mest almindelige kontroller:

IT-systemer og IT-sikkerhed
  • Er der sket ændringer eller udskiftninger i blandt IT-systemerne – og i de fysiske arkiver for den sags skyld?
  • Hvilke personkategorier og personoplysninger opbevares og behandles i IT-systemerne? I den forbindelse er det godt huske på dataminimering – hav kun data liggende, hvor de er nødvendige.
  • Er der sket ændringer i, hvem der har adgang til personoplysninger, og hvem de i evt. videregives til?
  • Er sikkerhedsforanstaltningerne up to date? Det kan fx være antivirus, Wi-Fi, Firewall, kryptering af harddisk, overvågning, alarm, backup mv.

Databehandlere/underdatabehandlere
  • Før tilsyn/kontrol med databehandlere – lever de op til de aftalte sikkerhedsforanstaltninger?
  • Er der sket ændringer hos databehandlere/underdatabehandlere? Det kan fx være, at en databehandler har ændringer i deres underdatabehandlere og er begyndt at overføre til et tredjeland. I så fald skal der laves en ny databehandleraftale.
 
Risikovurdering
  • Er der sket ændringer (forbedringer/forringelser) i sikkerhedsforanstaltninger, der påvirker risikoen for databrud?
  • Er der sket ændring i opbevaring og behandling af personoplysninger?
 
Slettepolitik
  • Er der personoplysninger i it-systemerne eller de fysiske arkiver, som ikke længere har gyldig hjemmel til at blive opbevaret? I så fald bør de slettes.
  • Efterleves de beskrevne slettepolitikker i de forskellige IT-systemer og fysiske arkiver
 
Organisationen
  • Er der kommet nye medarbejdere, og har de fået gennemgået medarbejderinstruksen?
  • Lav en årlig gennemgang af medarbejderinstruks for at højne medarbejdernes awareness og kendskabet til GDPR

Alle ansatte skal have udleveret en medarbejderinstruks. En medarbejderinstruks pålægger medarbejderne de pligter, som databeskyttelsesreglerne kræver. Dette omfatter bl.a. at medarbejdere:

  • kun må indsamle og gemme persondata, som er nødvendige for at kunne udføre deres job
  • kun må gøre det på lovligt grundlag (efter aftale, lovkrav o.a.)
  • skal slette oplysninger, der ikke længere er brug for
  • skal bruge sikre adgangskoder (der evt. regelmæssigt udskiftes) og to-faktor login, hvor det er muligt
  • altid skal kryptere mails med følsomme og fortrolige personoplysninger
  • skal udvise kritisk sans, når de åbner mails og klikker på links eller vedhæftede filer
  • ikke må surfe på ikke-sikre hjemmesider
  • ikke må benytte ikke-godkendte fildelings-services på internettet
  • skal låse arkivskabe med følsomme personoplysninger o.lign.
  • ikke må forlade skrivebordet med sådanne oplysninger uden opsyn
  • har tavshedspligt omkring alle informationer, der involverer persondata
  • kun må udlevere persondata til tredjepart, hvis der er en hjemmel hertil

Når en dataansvarlig indgår en aftale med en databehandler, skal der udarbejdes en skriftlig kontrakt, hvilket kaldes en databehandleraftale. Den skal bruges, når den dataansvarlige sender data til en underleverandør, som skal behandle disse data udelukkende efter instruks fra den dataansvarlige.

Databehandleraftalen skal bl.a. indeholde (beskrivelser af) følgende:

  • Kategorier af personoplysninger
  • Kategorier af personer
  • Formål med behandling
  • Tekniske og organisatoriske sikkerhedsforanstaltninger
  • Underdatabehandlere
  • Overførsel til tredjeland
  • Tilsyn/kontrol
  • Instruks til databehandlingen

I skal som virksomhed løbende vurdere de risici, som opbevaring og behandling af data indebærer, og her er det primært de oplysninger, som kan føre til fysisk, materiel eller immateriel skade (omdømme), som udgør en høj risiko. Derfor skal I samtidig gennemføre foranstaltninger for at begrænse disse risici ved fx at kryptere data eller justere interne processer.

Oplysningspligt betyder, at den registrerede skriftligt og i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og tydeligt sprog skal kunne få oplyst, hvilke data, virksomheden har registreret om vedkommende, samt hvorfra oplysningerne stammer, hvis de ikke er afgivet af vedkommende selv, men kommer fra en tredjepart.

Det skal endvidere oplyses, med hvilket formål og hjemmel dataene opbevares, hvem der internt og eksternt modtager disse data, samt om der foregår overførsel til tredjelande.

Oplysningspligten gælder i forhold til alle registrerede, du indsamler eller modtager persondata om – uanset hvordan du får fat på data; om du selv indsamler, eller om den registrerede selv henvender sig.

Du bør som udgangspunkt skriftligt give den registrerede de oplysninger, som pågældende har krav på at få. På denne måde kan du også bedst dokumentere, at du har iagttaget din oplysningspligt.

Oplysningspligten skal bl.a. indeholde:
  • Kontaktoplysninger på dataansvarlige (dig) – så den registrerede kan kontakte dig
  • Formål med behandling og opbevaring af den registreredes oplysninger
  • Hjemmel (retsgrundlaget) – fx samtykke, aftale/kontrakt, lovgivning mv.
  • Kategorier af oplysninger der indsamles – almindelige, fortrolige og/eller følsomme
  • Modtagere i tredjeland (kategorier af modtagere)
  • Kilde – hvor personoplysningerne stammer fra
  • Slettepolitik – hvor lang tid personoplysninger opbevares
  • Samtykke – den registrerede har til enhver tid ret til at trække dit samtykke tilbage
  • Den registreredes rettigheder – herunder retten til at klage til Datatilsynet
 
Tips & tricks til oplysningspligten

Sørg for at…

  • have de relevante oplysninger (privatlivspolitik) på din hjemmeside
  • gøre dem synlige ved fx kontaktformularer på hjemmesiden
  • indsætte et link til oplysningerne i din e-mail signatur
  • skrive dem ind i dine samarbejdsaftaler med dine kunder
  • skrive dem ind i dine tilbud/ordrebekræftelser til nye kunder
  • inkludere dem som bilag i ansættelsesaftalen med dine ansatte

Hvis I som virksomhed bruger underleverandører som fx en databehandler eller en underdatabehandler, har I som dataansvarlig pligt til at føre tilsyn med, at de overholder reglerne.

I hvilket omfang, og hvor ofte, du skal føre tilsyn med dine databehandlere afhænger af, hvilke typer af data du behandler, hvor meget data du behandler, og hvordan du behandler data.

Du kan læse meget mere om tilsyn her.

GDPR

GDPR står for General Data Protection Regulation og hedder på dansk Databeskyttelsesforordningen og Persondataforordningen. Den har siden 25. maj 2018 været lovpligtig i Danmark.

GDPR er grundlæggende en EU-forordning, der skal styrke og harmonisere beskyttelsen af personoplysninger, så fysiske personer er sikret både ret til og kontrol over egne personlige oplysninger. I Danmark er området underlagt Datatilsynet.

Databeskyttelsesloven er den danske databeskyttelseslov på de områder, hvor forordningen tillader de enkelte EU-stater at lave særlige supplerende regler.

Forordningen og loven skal give dig bedre kontrol over dine egne oplysninger, og samtidig skal virksomhederne have bedre styr på, hvordan de behandler og opbevarer dine personlige oplysninger.

Reglerne omfatter alle de personoplysninger, der kan identificere dig, ligesom den slår fast, hvordan virksomheder skal beskytte og behandle dine personlige oplysninger. Den giver dig som forbruger en række rettigheder, ligesom den specificerer, hvad du skal forvente og kræve af en virksomhed eller myndighed, som indsamler oplysninger om dig.

En personhenførbar oplysning (eller personoplysning) er enhver form for information, der kan henføres til en bestemt person, også selv om personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger.

Det kan fx være CPR-nummer, registreringsnumre, et billede, et fingeraftryk, en stemme, lægejournaler eller biologisk materiale, når det i praksis er muligt at identificere en person ud fra oplysningerne eller i kombination med andre. Personoplysninger kaldes også personhenførbare oplysninger.

Der er tre typer personoplysninger:

  • almindelige oplysninger
  • følsomme oplysninger
  • fortrolige oplysninger
 
Almindelige personoplysninger

Almindelige (ikke-følsomme) personoplysninger er alle oplysninger, der ikke er klassificeret som følsomme. Disse omfatter identifikationsoplysninger som navn, adresse, mailadresse, telefon, portrætfoto, IP-adresser (også dynamiske) og GPS-oplysninger.

Men også oplysninger om økonomi, skat, gæld, væsentlige sociale problemer, andre rent private forhold, fødselsdato, sygedage, tjenstlige forhold, familieforhold, bolig, bil, registreringsnummer, tøjstørrelse, eksamen, ansøgning, CV, ansættelsesdato og -stilling, arbejdsområde og arbejdstelefon er omfattet.


Følsomme personoplysninger

Reglerne for følsomme personoplysninger er snævrere end ved almindelige personoplysninger og omfatter oplysninger om:

  • race og etnisk oprindelse
  • politisk overbevisning
  • religiøs eller filosofisk overbevisning
  • fagforeningsmæssige tilhørsforhold
  • genetiske data
  • biometriske data med henblik på entydig identifikation
  • helbredsoplysninger
  • seksuelle forhold eller seksuel orientering

Der er pålagt skærpede krav til behandling af følsomme oplysninger, der som udgangspunkt er forbudt. Der er dog en række undtagelser, som hvis der fx er indhentet udtrykkeligt samtykke fra den registrerede.


Strafbare forhold

Oplysninger om strafbare forhold er i GDPR-sammenhæng almindelige personoplysninger, og er særskilt reguleret i databeskyttelsesloven. Begrebet skal forstås bredt, og omfatter ikke kun egentlige domme, men også fx rettighedsfrakendelser.

Almindelige virksomheder må ikke føre registre over strafbare forhold, og kan kun indhente oplysninger om strafbare forhold, hvis de får et samtykke til det fra den pågældende medarbejder eller samarbejdspartner – og det er relevant for det konkrete arbejde, der skal udføres.


Fortrolige personoplysninger

Fortrolige oplysninger er en særlig kategori af oplysninger, hvor særlige beskyttelsesbehov kan spille ind, hvilket bl.a. kræver en vurdering af, om oplysningen efter gængs opfattelse i samfundet bør kunne forlanges unddraget offentlighedens kendskab. Det gælder fx CPR-nummeret.

Følsomme persondata vil altid være fortrolige, men fortrolige data er ikke altid følsomme. Til gengæld kan almindelige (ikke-følsomme) personoplysninger afhængigt af omstændighederne være fortrolige, hvis de fx omhandler indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold eller indeholder oplysninger om fx selvmordsforsøg eller ulykker.

Du kan læse mere om personoplysninger på Datatilsynets hjemmeside her.

GDPR gælder ALLE virksomheder, der har personhenførbare data, oplysninger, billeder eller anden information, der kan identificere en person. Uanset virksomhedens størrelse og antal kunder.

Ja, for når du er alene, er du automatisk dataansvarlig og skal derfor have en politik for, hvordan du håndterer persondata. Får du adgang til andre virksomheders data som fx CPR-numre eller adresser, kan du være databehandler, og skal så have en databehandleraftale med den dataansvarlige. Skal du tilmed dele data med en underleverandør eller samarbejdspartner, skal der også laves en underdatabehandleraftale.

GDPR gælder også B2B-virksomheder. Det er praktisk taget umuligt at drive en virksomhed uden at behandle persondata på den ene eller anden måde – fx har de fleste en mail, sociale medier, en hjemmeside (der sætter cookies) eller måske nogle ansatte, der skal have løn.

GDPR er en løbende proces – præcis som bogføring også er det. Du stopper jo heller ikke med at bogføre bare fordi, du har afsluttet årsregnskabet. Når først I er i gang, kræver det ikke meget tid at vedligeholde, men det skal gøres løbende, for at det ikke hober sig op.

GDPR kan også betragtes som en ordentlig hovedrengøring med efterfølgende vedligeholdelse.

Den åbenlyse grund til at bruge tid på GDPR er, at du skal overholde loven, og du risikerer at få bøder på op til 4% af virksomhedens globale omsætning. Men det er langt fra den eneste grund til at få styr på GDPR.

Her er 3 gode grunde til at få styr på GDPR

  1. At have styr på GDPR højner typisk det generelle sikkerhedsniveau i virksomheden.
  2. Desuden er datasikkerhed og -ansvarlighed et salgs-/konkurrenceparameter, da flere og flere kunder, leverandører og samarbejdspartnere er blevet opmærksomme på området og kun ønsker at handle og samarbejde med virksomheder, hvor de ved, at deres data er i trygge hænder. GDPR skaber tillid og signalerer, at I er en professionel og ansvarlig virksomhed.
  3. GDPR øger værdien af selskabet i et salgs-eller investeringsperspektiv. Vil du købe et hus uden tilstandsrapport? Nej, vel. På samme måde sætter flere og flere købere og investorer krav til GDPR ved køb & salg af virksomhed

For at kunne sige, at du og din virksomhed har styr på GDPR, skal I have styr på følgende:

  • Intern fortegnelse – oversigt over virksomhedens behandlinger af personoplysninger inkl. formål, hjemmel (lovligt grundlag), kategorier af personer, interne brugere, eksterne modtager og slettepolitik.
  • Databehandleraftaler – uanset om virksomheden er dataansvarlig og/eller databehandler. Er hovedformålet at behandle persondata eller løse en konkret opgave?
  • Risikovurdering – set ud fra den/de registreredes synspunkt, og ikke fra virksomhedens synspunkt. Hvad er konsekvens og sandsynlighed for et databrud?
  • Tekniske sikkerhedsforanstaltninger – fx IT-infrastruktur, IT-systemer, bygninger, alarm mv.
  • Organisatoriske sikkerhedsforanstaltninger – fx instruktion til medarbejderne i arbejdet med persondata.
  • EU-borgers rettigheder – indsigt, berigtigelse, begrænsning, sletning, udlevering og klage til Datatilsynet
  • Oplysningspligt – på hjemmesiden med særskilt og specifik oplysning om formål, hjemmel, videregivelse, sletning mv. til kunder o.a. (kaldes ofte privatlivspolitik).
  • Kontroller – der er krav om egenkontrol, ligesom kokken i eget køkken: sletning, opdatering, instruks, tilsyn mv.
  • Beredskabsplan – beskriver, hvad I vil gøre, når der opstår et sikkerhedsbrud, eller I får en anmodning om indsigt.

 
Det lyder måske som en stor mundfuld, men det behøver det ikke være, hvis man strukturerer det rigtigt.

I Danmark består vores lovgivning af love med paragraffer, mens lovgivningen i EU består af forordninger med artikler. En EU-forordning er således overnational, og står dermed over dansk lov.

Et direktiv er et mål, som EU-landene skal nå, men det er op til de enkelte lande at lave deres egne love for, hvordan disse mål skal nås.

Modsat et EU-direktiv gælder en EU-forordning direkte og ensartet i alle EU-lande og skal efterleves i alle EU-lande uden undtagelse. Der er dog mulighed for at fastsætte nationale særregler på en række områder.

Omkring GDPR drejer det sig om 58 punkter, hvor den nationale lovgivning kan være forskellig fra land til land.

Du kan læse mere om typer af lovgivning på EU’s hjemmeside her.

Det afhænger meget af virksomhedens størrelse, branche og organisering, hvem der er ansvarlig for GDPR. I mange mindre virksomheder er det direktøren, der selv klarer opgaven, mens det i andre er en sekretær, der får opgaven.

Er virksomheden lidt større, kan den både lande hos IT-, HR- eller marketingchefen, mens der i større virksomheder findes en egentlig DPO, der er ansvarlig for opgaven. Nogle virksomheder bruger også en ekstern DPO i form af en revisor eller en anden ekspert.

Hvad der passer bedst til jer, afhænger helt af jer, men vi hjælper gerne med opgaven!

DPO står for Data Protection Officer og er en medarbejder eller rådgiver, der er ansvarlig for at underrette og rådgive den dataansvarlige eller databehandleren, om deres forpligtelser iht. GDPR. Desuden er DPO’en ansvarlig for at føre tilsyn med, om virksomheden overholder reglerne.

Det er langt de færreste private virksomheder der skal have en DPO tilknyttet. Så længe de kun foretager almindelig behandling af personoplysninger og ikke som deres kerneaktivitet behandler følsomme oplysninger eller oplysninger om strafbare forhold. Derimod skal offentlige myndigheder og organer altid have en DPO.

Du kan downloade Datatilsynets vejledning om DPO’er her.

Den dataansvarlige er den, der afgør hvilke persondata, der skal behandles og på hvilken måde inkl. formål, omfang og metoder – og det er den dataansvarlige, der har det endelige ansvar. Den dataansvarliges hovedydelse er andet end behandling af persondata.

 
Den dataansvarlige

  • er ansvarlig for persondata
  • bestemmer over de indsamlede persondata
  • giver instruks til databehandler
  • skal føre tilsyn/kontrol med, at databehandleren lever op til de tekniske og organisatoriske sikkerhedsforanstaltninger
  • skal indberette sikkerhedsbrud til Datatilsynet
  • er altid dataansvarlig for persondata på ansatte, leverandører og kunder

Databehandlerens hovedydelse er helt eller delvist at behandle personoplysninger på vegne af en dataansvarlig og efter en aftalt instruks, som databehandleren skal holde sig indenfor. Det kan fx være lønbureauer, hosting-virksomheder eller cloud-tjenester.

 Databehandleren

  • behandler persondata
  • behandler på vegne af den dataansvarlige
  • arbejder efter instruks
  • skal informere dataansvarlig om eventuel brug af underdatabehandlere
  • skal føre tilsyn/kontrol med, at underdatabehandlere lever de op til de tekniske og organisatoriske sikkerhedsforanstaltninger
  • skal underrette den dataansvarlige om sikkerhedsbrud uden unødig forsinkelse

I langt de fleste tilfælde er det klart, hvem der er dataansvarlig og databehandler, men i nogle tilfælde kan der opstå tvivl. Hvis du er i tvivl, er du altid velkommen til at tage fat i en af vores dygtige rådgivere, som du finder lige her.

Hvis I som dataansvarlig bruger en databehandler, kan denne videregive en eller flere opgaver til en underdatabehandler, der har mindst de samme forpligtelser som databehandleren. Det kræver dog en skriftlig godkendelse fra jer, da underdatabehandleren handler på vegne af jer som dataansvarlig – og ikke på vegne af databehandleren. Derfor er det en god idé at præcisere ansvaret i en databehandleraftale.

Et billede af en person, der kan identificeres, er også en personoplysning, og derfor gælder reglerne om databeskyttelse også billeder.

Du skal som dataansvarlig have et retlig grundlag for at offentliggøre billedet – det kan fx være samtykke – og du skal give personerne på billedet mulighed for at gøre indsigelser.

Hvis billedet offentliggøres uden samtykke, kommer interesseafvejningsreglen i spil. I så fald skal der ske en vurdering af, om den dataansvarlige har en legitim interesse i at offentliggøre billedet, og om denne interesse vejer tungere end en registreredes interesser. Interesseafvejningen tager bl.a. højde for karakteren af billedet, situationen og sammenhængen billedet er taget og formålet med offentliggørelsen.

Tidligere skelnede Datatilsynet mellem situationsbilleder og portrætbilleder, men i 2019 blev vejledningen lavet om.

Du kan læse Datatilsynets vejledning omkring billeder på internettet her.

Hvis du vil have økologi, skal du kigge efter det røde Ø-mærke; hvis du køber noget på nettet, sikrer E-mærket, at det foregår efter reglerne; og når du går på restaurant, er smiley-ordningen din sikkerhed for, at der er styr på hygiejnen i køkkenet.

D-mærket er din sikkerhed for, at virksomheden behandler dine data sikkert og ansvarligt, og at de lever op til mærkningens standarder inden for datasikkerhed, databeskyttelse og dataetik.

D-mærket er en mærkningsordning for it-sikkerhed og ansvarlig dataanvendelse og er stiftet af Industriens Fond i samarbejde med Dansk Industri, Dansk Erhverv, SMVdanmark og Forbrugerrådet Tænk.

Lexoforms er selvfølgelig D-mærket! Faktisk var vi blandt de tre første D-mærkede virksomheder og den første til at blive recertificeret.

Internationalt

GDPR er en EU-forordning, og gælder i alle EU-lande for samtlige borgere og virksomheder. Også virksomheder udenfor EU, der handler med borgere og/eller virksomheder i EU, er underlagt GDPR.

Har I afdelinger i flere EU-lande, er det som udgangspunkt jeres hovedkontor for moderselskabet (hovedvirksomheden), der er GDPR-ansvarlig.

Træffes beslutninger om GDPR i en anden del af virksomheden, er det dog denne afdeling, der i GDPR-sammenhæng er hovedvirksomheden.

I dag behandles mange data i tredjelande uden for EU, og her gælder særlige regler. Er landet af EU-Kommissionen vurderet sikkert, kan data uden tilladelse overføres, men er landet stemplet usikkert, er der en række krav.

Du kan læse mere om Databeskyttelsesforordningens anvendelsesområde på Datatilsynets hjemmeside her.

Indtil juli 2020 havde flere lande som USA, Canada og Japan særordninger, og i USA hed den EU-U.S. Privacy Shield. Her kunne amerikanske virksomheder tilmelde sig et selvcertificeringssystem, så europæiske virksomheder frit kunne sende persondata til dem.

Men EU-domstolen erklærede i sommeren 2020, at denne mulighed var ulovlig, fordi der ikke er nok beskyttelse af personers data i USA.

Indtil juli 2023 kunne som virksomhed bruge Kommissionens Standard Contractual Clauses (SCC), som er en kontrakt bestående af en række standardbestemmelser, der har til formål at sikre at behandlingen af persondata udenfor EU, følger EU-forordningen.

Du kan læse Datatilsynets FAQ om SCC her.

Afløseren for EU-U.S. Privacy Shield, der blev godkendt af EU-kommissionen i juli 2023, hedder EU-U.S. Data Privacy Framework (EU-US DPF) der gør det nemmere at overføre persondata til USA, da man blot kan nøjes med at henvise til tilstrækkelighedsafgørelsen som overførselsgrundlag. Det kræver dog, at de virksomheder og organisationer, du ønsker at overføre persondata til, er certificeret under EU-US DPF hos det amerikanske handelsministerium. Det er nemlig dem, der administrerer og overvåger ordningen ift. de amerikanske virksomheder. Med en certificering er den enkelte amerikanske virksomhed forpligtet til at overholde et detaljeret sæt af privatlivsforpligtelser herunder formålsbegrænsning, dataminimering og dataopbevaring samt specifikke forpligtelser vedrørende datasikkerhed, deling af data med tredjepart og sletning af persondata uden gyldig hjemmel.

Du kan læse mere om EU-US DPF i vores blogindlæg her.

TIA er kort for Transfer Impact Assessment, og er en konkret risikoanalyse af, om overførslen af personoplysninger til et usikkert tredjeland kan ske på et lovligt grundlag. Den skal foretages før overførsel af personoplysninger til et land uden for EU/EØS, som ikke er godkendt af Europa-Kommissionen. TIA skal foretages under hensyn til både kategori og mængde af de overførte personoplysninger og har ingen formkrav.

Begrebet ”dataeksportør” er ikke defineret i databeskyttelsesforordningen, men af bl.a. EU-kommissionens standardkontrakt er dataeksportøren defineret som ”den dataansvarlige eller databehandleren, der overfører personoplysningerne til et tredjeland”. Modtageren i tredjelandet kaldes ”dataimportør”.

Du kan læse mere om begrebet ‘dataeksportør’ på Datatilsynets hjemmeside her.

Det Europæiske Databeskyttelsesråd (European Data Protection Board – EDPB) er et uafhængigt EU-organ, der sikrer en ensartet anvendelse af GDPR i hele EU. Rådet består af repræsentanter for medlemsstaternes tilsynsmyndigheder – fra Danmark er det direktøren fra Datatilsynet eller kontorchefen for International Enhed – samt Den Europæiske Tilsynsførende for Databeskyttelse.

EU’s udgave af Datatilsynet hedder Den Europæiske Tilsynsførende for Databeskyttelse (European Data Protection Supervisor – EDPS), og er den uafhængige databeskyttelsesmyndighed i EU. De fører tilsyn med, at EU’s institutioner og organer lever op til GDPR. Desuden rådgiver de EU’s institutioner og organer om personoplysninger, overvåger ny teknologi, rådgiver EU-domstolen og samarbejder med de nationale tilsynsmyndigheder og tilsynsorganer.

Hos datatilsynet kan du finde en liste over de lande udenfor EU/EØS, der er godkendt som sikre lande.

Du finder isten over sikre tredjelande her.

Rettigheder

Ved samtykke giver den registrerede lov til, at personoplysninger omkring vedkommende bliver lagret og behandlet. Forinden skal vedkommende dog være informeret om sin ret til når som helst at kunne tilbagetrække sit samtykke.

Samtykke er bare et af seks behandlingsgrundlag, der giver ret til at behandle persondata.

Ja, og allerede når samtykket gives, skal den dataansvarlige informere skriftligt om retten til at tilbagetrække samtykket – ellers er det ikke gyldigt.

Det er et krav, at det er let at tilbagekalde samtykket (fx et link i en mail) – og umiddelbart efter tilbagekaldelsen skal alle oplysningerne straks slettes.

I nogle tilfælde kan der behandles data på et andet grundlag end samtykke – så længe der er et andet retlig grundlag. Foruden samtykke er der fem andre forhold, der gør behandlingen af personoplysninger lovlig.


De seks forhold er:

  1. Samtykke fra den registrerede
  2. Behandlingen er nødvendig af hensyn til en kontrakt
  3. Behandlingen er nødvendig af hensyn til en retlig forpligtelse
  4. Behandlingen er nødvendig af hensyn til en persons vitale interesser
  5. Behandlingen er nødvendig af hensyn til samfundets interesse eller offentlig myndighedsudøvelse
  6. Behandlingen er nødvendig af hensyn til en legitim interesse som ikke overgås af den registreredes interesse eller rettigheder.


Du kan læse mere om, hvornår du må behandle personoplysninger på Datatilsynets hjemmeside her.

Den registrerede er den person, der er registreret personhenførbare oplysninger om. Vedkommende kan både være medarbejder, leverandør, samarbejdspartner, kunde eller noget helt femte som fx en nyhedsbrevsmodtager.

Alle, der behandler persondata, skal have en klar procedure for, hvordan de vil håndtere krav fra en registreret person, hvis denne ønsker at udøve sine rettigheder.

Den registrerede har ret til…

  • at få oplyst, om der indsamles og behandles personoplysninger om vedkommende (Oplysningspligten)
  • at få berigtiget urigtige data og begrænset behandlingen (Ret til berigtigelse)
  • at få slettet data* (Ret til sletning)
  • at gøre indsigelse over at oplysningerne behandles og videregives til fx markedsføring (Ret til indsigelse)
  • at få løbende indsigt i, hvordan vedkommendes oplysninger behandles (Indsigtsret)
  • at kunne få udleveret sine data, så de kan overflyttes til anden udbyder (Ret til dataportabilitet)
  • ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling (Profilering)
  • at tilbagekalde samtykke
  • at klage til Datatilsynet


* medmindre det af regnskabsmæssige eller juridiske årsager skønnes, at det er nødvendigt at beholde data i en længere periode. Oplysningerne slettes senest, når eventuelle formueretlige krav er forældet.

Registrerede personer kan gøre indsigelse mod jeres brug af personoplysninger til fx markedsføring eller profilering. Hvis vedkommende ønsker det, skal al behandling straks standses.

Vær opmærksom på, at den registrerede skal gøres opmærksom på sin indsigelsesret ved første kontakt, hvilket rent praktisk ofte sker i oplysningspligten.

Hvis en kunde gør brug af sin indsigelsesret, er det vigtigt, at I reagerer:

  • Udpeg en ansvarlig for behandlingen af henvendelsen, og hav en plan klar (beredskabsplan)
  • Besvar henvendelse ved at bekræfte modtagelsen, oplys hvornår du forventer at svare – og sikr dig identiteten på den som anmoder om indsigt. Indsigt til forkert person = databrud
  • Bed om yderligere oplysninger som kan understøtte identifikationen – ring evt. vedkommende op
  • Overvej at gå i dialog med den registrerede, og bed om præcisering eller afgrænsning af indsigtsanmodningen
  • Fremskaf personoplysninger fysisk eller elektronisk – kortlæg hvilke og hvor, I har personoplysninger på den registrerede i forskellige IT-systemer
  • Tag kopier/scan af relevante papirdokumenter – gem relevante udsnit af dokumenter/sagsmapper, tv-optagelser mv.
  • Klargør materialet i et maskinlæsbart format (fx csv, docx, xlsx, pdf el.lign.) – husk at slette/anonymisere de personoplysninger i materialet, der angår andre personer, end den der har bedt om indsigt
  • Vurdér, om der er oplysninger, der ikke skal gives indsigt i, fordi afgørende hensyn til virksomhedens interesser vejer tungere end hensynet til den registrerede – fx en leders udtalelse om en medarbejder i en opsigelsessag
  • Skriv besvarelsen – oplistning af de konkrete personoplysninger, som er fundet – eller en kopi af personlysningerne vedlægges
  • Oplysningspligten og rettighederne skal medsendes
  • Send materialet krypteret – det er et krav såfremt materialet indeholder fortrolige eller følsomme personoplysninger


Tidsfrister for imødekommelse af anmodninger:

  • Du skal besvare en anmodning om indsigt uden unødig forsinkelse og senest en måned efter modtagelsen
  • Er anmodningen kompliceret, kan du forlænge svarfristen med yderligere to måneder. Udsættelse skal i så fald begrundes inden en måned

Som udgangspunkt skal den besøgende på din hjemmeside aktiv acceptere, at du sætter cookies. Men som med så meget andet er der også her undtagelser. Du må gerne sætte tekniske cookies uden samtykke fra den besøgende. Det er derfor, du som besøgende på en hjemmeside ikke kan fravælge de nødvendige cookies, når du giver samtykke til, om der må sættes cookies.

Sikkerhed

Når du skal passe på persondata i din virksomhed, er det vigtigt at have styr på den generelle it-sikkerhed. Vi har her samlet nogle gode råd til generel it-sikkerhed:

  • Få overblik over de mest kritiske data og systemer i virksomheden
  • Opdatér programmer løbende og luk mulige sikkerhedshuller
  • Anvend antivirus, firewall og kryptering – det beskytter mod angreb og databrud
  • Tag backup af data – etablér en rutine for backup og sørg for at teste og opbevare den sikkert
  • Lær at spotte mistænkelige e-mails – vær kritisk, og klik ikke på mistænkelige links
  • Lav stærke adgangskoder og brug to-faktor login – undgå eller minimér genbrug af koder
  • Stil sikkerhedskrav til dine IT-leverandører – og sikr dig, at de kan dokumentere sikkerheden


Derudover er det også vigtigt at medarbejderne i virksomheden er oplyste omkring, hvordan de behandler persondata på en sikker måde.

Informationssikkerhed er mere end it-sikkerhed, selvom it-sikkerheden er en central del. Informationssikkerhed inkluderer også bl.a. uddannelse af medarbejdere (awarenesstræning), forankring i ledelsen og GDPR.

I skal som virksomhed have tekniske og organisatoriske foranstaltninger, som passer med den risiko (høj, middel, lav) som behandlingsaktiviteten udgør – specielt ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

Et brud på persondatasikkerheden defineres af Datatilsynet på denne måde:

“Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.”

Eksempler på brud på persondatasikkerheden:

  • E-mail med personoplysninger sendes til forkert(e) modtager(e)
  • Brevfletning – rigtige oplysninger/forkerte modtagere el. forkerte oplysninger/rigtige modtagere
  • Indbrud på kontoret eller i bil – mistede dokumenter og/eller IT-udstyr
  • Tab/tyveri af mobiltelefon, bærbar computer og andre mobile enheder med manglende kode eller kryptering
  • Hacking – udefrakommende får adgang til oplysninger/system ikke tilstrækkeligt sikret
  • Brand eller oversvømmelse – forårsager en periode uden adgang til eller ender med at tilintetgøre data

Hvis der er sket et databrud i virksomheden, skal du først og fremmest sørge for at stoppe og begrænse skaden. I nogle tilfælde skal de personer, hvis data det drejer sig om, have besked om bruddet. Derudover skal det ofte anmeldes til datatilsynet, og det skal ske indenfor 72 timer og uden unødig forsinkelse. Det kan du gøre elektronisk på virk.dk

I blanketten skal du bl.a. oplyse:

  • Karakteren af bruddet
  • Navn på og kontaktoplysninger for medarbejderen, hvor yderligere oplysninger kan indhentes
  • De sandsynlige konsekvenser af bruddet
  • De foranstaltninger, som du har truffet eller foreslår truffet for at håndtere bruddet

 
I de fleste tilfælde, vurderer datatilsynet at sagen kan lukkes, og du vil modtage et brev med eventuelle anbefalinger som afslutning på hændelsen.

Du finder en trin-for-trin guide til anmeldelse på virk.dk’s hjemmeside her.

Databeskyttelse via design (privacy by design) er, når de grundlæggende databeskyttelsesprincipper er tænkt ind fra starten i en given aktivitet eller i et (nyt) IT-system, så det også bliver en integreret del af designet og alle relevante processer. Det kan fx ske gennem kryptering og pseudonymisering, men også gennem sikring af infrastrukturen, minimering af databehandlingen og styring af adgangsrettigheder.

Designet skal forebygge risici og have databeskyttelse som en indbygget standardindstilling, der ikke skal slås til. Formålet med privacy by design er at sikre en proaktiv tilgang til datasikkerhed og at tænke sikkerhed ind i alle tekniske platforme og forretningsgange.

Databeskyttelse via standardindstillinger (privacy by default) handler om, at kun nødvendige personoplysninger indsamles og behandles til ét konkret formål. Er det fx nødvendigt at registrere fødselsdato for at kunne udsende et nyhedsbrev?

Du kan downloade Datatilsynets ‘Vejledning om behandlingssikkerhed og databeskyttelse gennem design og standardindstillinger’ her.

Pseudonymiserede personoplysninger kan med supplerende oplysninger føres tilbage til en person og skal derfor behandles som persondata. Det er fx, når en journalist udskifter et navn med et andet i en artikel – et pseudonym – eller et cpr-nummer udskiftes med en anden kode. Ved pseudonymisering findes der en ”nøgle”, der kan føre pseudonymet eller koden tilbage til den oprindelig person.

Anonymiserede personoplysninger er ikke personhenførbare, og det er ikke muligt at identificere den oprindelig person. Der er så at sige ikke nogen ”nøgle” til de anonymiserede data.

Du kan læse mere om anonymisering og pseudonymisering på Datatilsynets hjemmeside her.

Awareness-træning handler grundlæggende om, at medarbejdere i en virksomhed skal gøres opmærksomme på og forstå hvilke potentielle risici, der er i arbejdet med it-sikkerhed og persondata.

Har du spørgsmål?

Har du spørgsmål omkring GDPR, vores løsning eller andet, kan du booke et møde med Martin eller Daniel. Book 15 min., 30 min. eller en time

MH9230_frit_300x240px

Vil du vide mere?

Book et møde , når det passer dig – eller bliv ringet op.

Ring mig venligst op...