Ordbog
Der findes mange mærkelige ord og fagtermer indenfor GDPR. Derfor har vi lavet en ordbog, der på klart forståeligt dansk forklarer, hvad de forskellige ord egentlig betyder.
Når du registrerer din kørsel, afgiver du persondata
GDPR-Ordbog
Find svaret på de mange betegnelser, forkortelser og begreber – og er der et ord, du ikke kan finde, må du meget gerne sende det til os på info@lexoforms.com – så får vi det på hurtigst muligt.
A
Ad Hoc-tilsyn
Se Tilsyn
Almindelige personoplysninger
Oplysninger, der ikke er klassificeret som følsomme.
Identifikationsoplysninger som navn, adresse, mailadresse, telefon, portrætfoto, IP-adresser (også dynamiske) og GPS-oplysninger, samt fødselsdato, bolig, bil, stilling, arbejdsområde og arbejdstelefon.
Anmeldelse af sikkerhedsbrud til Datatilsynet
Se Hændelse
Anonymisering
Uigenkaldelig af-identificering af persondata, så en fysisk person ikke længere kan identificeres via pågældende data.
Artikel
Se Forordning
Artikel 30 fortegnelse
En fortegnelse over alle de aktiviteter i virksomheden, som indebærer behandling af persondata.
Juridisk er den officielle titel en Artikel 30-fortegnelse, men den kaldes også nogle gange bare en fortegnelse over behandlingsaktiviteter eller en intern fortegnelse – og den er nærmest umulig at overskue i et almindeligt regneark.
Audit
Lovpligtig løbende kontrol af at alt stadig er ok i forhold til GDPR.
Resultatet er en erklæring om, at virksomheden har styr på GDPR, hvilket kan være relevant overfor dataansvarlige og -behandlere, myndigheder, kunder, samarbejdspartnere og… pressen.
Se Tilsyn
Oplysninger, der ikke er klassificeret som følsomme.
Identifikationsoplysninger som navn, adresse, mailadresse, telefon, portrætfoto, IP-adresser (også dynamiske) og GPS-oplysninger, samt fødselsdato, bolig, bil, stilling, arbejdsområde og arbejdstelefon.
Se Hændelse
Uigenkaldelig af-identificering af persondata, så en fysisk person ikke længere kan identificeres via pågældende data.
Se Forordning
En fortegnelse over alle de aktiviteter i virksomheden, som indebærer behandling af persondata
Juridisk er den officielle titel en Artikel 30-fortegnelse, men den kaldes også nogle gange bare en fortegnelse over behandlingsaktiviteter eller en intern fortegnelse – og den er nærmest umulig at overskue i et almindeligt regneark.
Lovpligtig løbende kontrol af at alt stadig er ok i forhold til GDPR
Resultatet er en erklæring om, at virksomheden har styr på GDPR, hvilket kan være relevant overfor dataansvarlige og -behandlere, myndigheder, kunder, samarbejdspartnere og… pressen.
B
Behandlingsgrundlag
Din lovmæssige grund til at behandle/håndtere persondata.
Du skal opfylde en eller flere betingelser i loven, for at have grund til at behandle persondata.
Biometriske data
Oplysninger om en persons fysiske, fysiologiske eller adfærdsmæssige karakteristika, der gør det muligt at identificere vedkommende.
Disse omfatter fingeraftryk og iris-analyse.
Bilag D og E
Kan være en del af databehandleraftalen.
Bilag D refererer til den hovedaftale/kontrakt, der ligger til grund for at, der foregår en behandling. Det kan være en supportaftale, en abonnementsaftale, en købsaftale mv.
Bilag E giver mulighed for at specificere eventuelle særlige vilkår, som gør sig gældende i forhold til behandlingen af data/indgåelse af en aftale.
Fx tidsfrister, begunstiget tredjemand jf. pkt. 7, specificering omkring underdatabehandlere mv.
Brud på persondatasikkerheden
Se Hændelse
Din lovmæssige grund til at behandle/håndtere persondata.
Du skal opfylde en eller flere betingelser i loven, for at have grund til at behandle persondata.
Oplysninger om en persons fysiske, fysiologiske eller adfærdsmæssige karakteristika, der gør det muligt at identificere vedkommende.
Disse omfatter fingeraftryk og iris-analyse.
Kan være en del af databehandleraftalen.
Bilag D refererer til den hovedaftale/kontrakt, der ligger til grund for at, der foregår en behandling. Det kan være en supportaftale, en abonnementsaftale, en købsaftale mv.
Bilag E giver mulighed for at specificere eventuelle særlige vilkår, som gør sig gældende i forhold til behandlingen af data/indgåelse af en aftale.
Fx tidsfrister, begunstiget tredjemand jf. pkt. 7, specificering omkring underdatabehandlere mv.
Se Hændelse
C
CIPM
Certified Information Privacy Manager.
Persondata-certificering for medarbejdere med persondataansvar.
Læs mere om CIPM her.
CIPP/E
Certified Information Privacy Professional (EU).
Persondata-certificering for specialister.
Læs mere om CIPP/E her.
Cloud-løsning
Netbaseret løsning, hvor softwaren er tilgængelig online fremfor installeret lokalt på egne servere/egen pc.
Kaldes også Cloudcomputing, cloud hosting, cloud – eller på dansk: sky.
Cookie
En lille tekstfil, der indhenter data om en bruger ved dels at lagre og senere tilgå allerede lagrede oplysninger på brugerens pc, smartphone eller tablet.
CPR-nummer
CPR-nummeret er en fortrolig oplysning, der er særskilt reguleret I databeskyttelsesloven.
CIPM
Certified Information Privacy Manager.
Persondata-certificering for medarbejdere med persondataansvar.
Læs mere om CIPM her.
CIPP/E
Certified Information Privacy Professional (EU).
Persondata-certificering for specialister.
Læs mere om CIPP/E her.
Cloud-løsning
Netbaseret løsning, hvor softwaren er tilgængelig online fremfor installeret lokalt på egne servere/egen pc.
Kaldes også Cloudcomputing, cloud hosting, cloud – eller på dansk: sky.
Cookie
En lille tekstfil, der indhenter data om en bruger ved dels at lagre og senere tilgå allerede lagrede oplysninger på brugerens pc, smartphone eller tablet.
CPR-nummer
CPR-nummeret er en fortrolig oplysning, der er særskilt reguleret I databeskyttelsesloven.
D
Data Protection Officer
Se DPO
Dataansvarlig
Den, der afgør hvilke persondata, der skal behandles og på hvilken måde inkl. formål, omfang og metoder.
Det er den dataansvarlige, der har det endelige ansvar. Den dataansvarliges hovedydelse er andet end behandling af persondata. Det er virksomheden, der er dataansvarlig – ikke en person.
Læs mere om forskellen på dataansvarlig og databehandler her.
Databehandler
Den, der behandler data på vegne af og efter instruks fra en dataansvarlig.
Det kan fx være lønbureauer, hosting-virksomheder eller cloud-tjenester.
Læs mere om forskellen på dataansvarlig og databehandler her.
Databehandleraftale
Skriftlig kontrakt mellem dataansvarlig og databehandler om behandling af data.
Databeskyttelsesforordningen
Databeskyttelsesloven
Den danske databeskyttelseslov på de områder, hvor forordningen tillader de enkelte EU-stater at lave særlige, supplerende regler.
Databrud
Se Hændelse
Dataeksportør
Typisk betegnelse for den dataansvarlige eller databehandler, der overfører personoplysninger ud af EU/EØS.
Læs mere om begrebet dataeksportør på Datatilsynets hjemmeside her.
Dataforordningen
Dataimportør
Typisk betegnelse for den dataansvarlige eller databehandler uden for EU/EØS (i et tredjeland), der modtager personoplysninger fra EU/EØS.
Læs mere om begreberne dataimportør og -eksportør på Datatilsynets hjemmeside her.
Dataminimering
Virksomheder må kun indsamle og behandle tilstrækkelige, relevante og nødvendige persondata, der er nødvendige i forhold til formålet.
Datamodtager
En juridisk eller fysisk person, en offentlig myndighed, en institution eller et andet organ, der bliver videregivet personoplysninger til.
Dataportabilitet
Den registreredes ret til at få sine registrerede persondata udleveret i et struktureret, almindelig anvendt og maskinlæsbart format enten til sig selv eller til en anden dataansvarlig.
Det gælder dog kun ved samtykke eller kontrakt, og når databehandlingen er automatisk.
Datatilsynet
Datatilsynet er både kontrol- og tilsynsmyndighed, men fungerer også som klageinstans ift. enkeltpersoner. Desuden arbejder de også med information og vejledning om datasikkerhed og lovgivning på området mm.
Den Europæiske Tilsynsførende for Databeskyttelse
Se EDPS.
Den registrerede
Den person, der er registreret personhenførbare oplysninger om.
Vedkommende kan både være medarbejder, leverandør, samarbejdspartner, kunde eller noget helt femte som fx en nyhedsbrevsmodtager.
Den registreredes rettigheder
De rettigheder den person, der er registreret personhenførbare oplysninger om, har.
Rettighederne er:
- at få oplyst, om der indsamles og behandles personoplysninger om vedkommende
- at få berigtiget urigtige data og begrænset behandlingen
- at få slettet data*
- at gøre indsigelse over, at oplysningerne behandles og videregives til fx markedsføring
- at få løbende indsigt i, hvordan vedkommendes oplysninger behandles
- at kunne få udleveret sine data, så de kan overflyttes til anden udbyder
- at tilbagekalde samtykke
- at klage til Datatilsynet
* medmindre det af regnskabsmæssige eller juridiske årsager skønnes, at det er nødvendigt at beholde data i en længere periode. Oplysningerne slettes senest, når eventuelle formueretlige krav er forældet.
Det Europæiske Databeskyttelsesråd
Se EDBP.
Direktiv
En retsakt, der fastsætter et mål, som EU-landene skal nå
Det er op til det enkelte medlemsland selv at lave love for, hvordan målene nås.
Læs mere om direktiver og forordninger på EU’s hjemmeside her.
DoS
Denial of Service – ”ude af drift-angreb”.
DPA
Data Processing Agreement eller Data Protection Addendum – på dansk: Databehandleraftale.
Se også Databehandleraftale.
DPO
Data Protection Officer – en medarbejder eller ekstern rådgiver, der er ansvarlig for at underrette og rådgive den dataansvarlige eller databehandleren, om deres forpligtelser iht. GDPR.
Desuden er DPO’en ansvarlig for at føre tilsyn med, om virksomheden overholder reglerne.
Skal I have en DPO? Læs mere om DPO i vores FAQ.
Mærkningsordning for it-sikkerhed og ansvarlig dataanvendelse.
Læs mere om D-mærket her.
Se DPO
Den, der afgør hvilke persondata, der skal behandles og på hvilken måde inkl. formål, omfang og metoder.
Det er den dataansvarlige, der har det endelige ansvar. Den dataansvarliges hovedydelse er andet end behandling af persondata. Det er virksomheden, der er dataansvarlig – ikke en person.
Læs mere om forskellen på dataansvarlig og databehandler her.
Den, der behandler data på vegne af og efter instruks fra en dataansvarlig.
Det kan fx være lønbureauer, hosting-virksomheder eller cloud-tjenester.
Læs mere om forskellen på dataansvarlig og databehandler her.
Skriftlig kontrakt mellem dataansvarlig og databehandler om behandling af data.
Den danske databeskyttelseslov på de områder, hvor forordningen tillader de enkelte EU-stater at lave særlige, supplerende regler.
Se Hændelse
Typisk betegnelse for den dataansvarlige eller databehandler, der overfører personoplysninger ud af EU/EØS.
Læs mere om begrebet dataeksportør på Datatilsynets hjemmeside her.
Typisk betegnelse for den dataansvarlige eller databehandler uden for EU/EØS (i et tredjeland), der modtager personoplysninger fra EU/EØS.
Læs mere om begreberne dataimportør og -eksportør på Datatilsynets hjemmeside her.
Virksomheder må kun indsamle og behandle tilstrækkelige, relevante og nødvendige persondata, der er nødvendige i forhold til formålet.
En juridisk eller fysisk person, en offentlig myndighed, en institution eller et andet organ, der bliver videregivet personoplysninger til.
Den registreredes ret til at få sine registrerede persondata udleveret i et struktureret, almindelig anvendt og maskinlæsbart format enten til sig selv eller til en anden dataansvarlig.
Det gælder dog kun ved samtykke eller kontrakt, og når databehandlingen er automatisk.
Datatilsynet er både kontrol- og tilsynsmyndighed, men fungerer også som klageinstans ift. enkeltpersoner. Desuden arbejder de også med information og vejledning om datasikkerhed og lovgivning på området mm.
Se EDPS.
Den person, der er registreret personhenførbare oplysninger om.
Vedkommende kan både være medarbejder, leverandør, samarbejdspartner, kunde eller noget helt femte som fx en nyhedsbrevsmodtager.
De rettigheder den person, der er registreret personhenførbare oplysninger om, har.
Rettighederne er:
- at få oplyst, om der indsamles og behandles personoplysninger om vedkommende
- at få berigtiget urigtige data og begrænset behandlingen
- at få slettet data*
- at gøre indsigelse over, at oplysningerne behandles og videregives til fx markedsføring
- at få løbende indsigt i, hvordan vedkommendes oplysninger behandles
- at kunne få udleveret sine data, så de kan overflyttes til anden udbyder
- at tilbagekalde samtykke
- at klage til Datatilsynet
* medmindre det af regnskabsmæssige eller juridiske årsager skønnes, at det er nødvendigt at beholde data i en længere periode. Oplysningerne slettes senest, når eventuelle formueretlige krav er forældet.
Se EDBP.
En retsakt, der fastsætter et mål, som EU-landene skal nå
Det er op til det enkelte medlemsland selv at lave love for, hvordan målene nås.
Læs mere om direktiver og forordninger på EU’s hjemmeside her.
Denial of Service – ”ude af drift-angreb”.
Data Processing Agreement eller Data Protection Addendum – på dansk: Databehandleraftale.
Se også Databehandleraftale.
Data Protection Officer – en medarbejder eller ekstern rådgiver, der er ansvarlig for at underrette og rådgive den dataansvarlige eller databehandleren, om deres forpligtelser iht. GDPR.
Desuden er DPO’en ansvarlig for at føre tilsyn med, om virksomheden overholder reglerne.
Skal I have en DPO? Læs mere om DPO i vores FAQ.
E
EDBP
European Data Protection Board – på dansk: Det Europæiske Databeskyttelsesråd eller Databeskyttelsesrådet.
Uafhængigt EU-organ, der sikrer ensartning af databeskyttelsesforordningen og retshåndhævelsesdirektivet i hele EU.
Læs mere om EDPB her – eller på EDBP’s egen hjemmeside her.
EDPS
European Data Protection Supervisor – på dansk: Den Europæiske Tilsynsførende for Databeskyttelse.
Den uafhængige databeskyttelsesmyndighed i EU, der fører tilsyn med og rådgiver EU’s institutioner og organer samt overvåger ny teknologi, rådgiver EU-domstolen og samarbejder med de nationale myndigheder.
Læs mere om EDPS her – eller på Datatilsynets hjemmeside her.
Ekstern audit
Se Audit.
Ekstern inspektion
Se Audit.
Erklæring
Resultatet af en audit
EU-direktiv
Se Direktiv.
EU-forordning
Se Forordning.
EU-U.S. Data Privacy Framework (EU-US DPF)
Afløseren for EU-U.S. Privacy Shield, der blev godkendt af EU-kommissionen i juli 2023.
EU-US DPF gør det nemmere at overføre persondata til USA, da man blot kan nøjes med at henvise til tilstrækkelighedsafgørelsen som overførselsgrundlag. Det betyder, at der ikke længere er krav om hverken at benytte EU-Kommissionens standardbestemmelser (SCC), bindende virksomhedsregler eller supplerende foranstaltninger. Alle disse er nemlig omfattet af EU-US DPF.
Efterhånden som modtagerne bliver certificerede, kan de findes på listen, som du finder her.
Læs også vores blogindlæg om EU-US DPF her.
EU-U.S. Privacy Shield
Den juridiske ramme, der indtil 16. juli 2020 regulerede overførsel af personoplysninger mellem EU og USA.
EU/EØS-land
Land, der er medlem af EU eller Det Europæiske Økonomiske Samarbejdsområde (EØS).
Læs mere om EØS-samarbejdet her – og se den fulde liste over EU/EØS-medlemmer her.
European Data Protection Board – på dansk: Det Europæiske Databeskyttelsesråd eller Databeskyttelsesrådet.
Uafhængigt EU-organ, der sikrer ensartning af databeskyttelsesforordningen og retshåndhævelsesdirektivet i hele EU.
Læs mere om EDPB her – eller på EDBP’s egen hjemmeside her.
European Data Protection Supervisor – på dansk: Den Europæiske Tilsynsførende for Databeskyttelse.
Den uafhængige databeskyttelsesmyndighed i EU, der fører tilsyn med og rådgiver EU’s institutioner og organer samt overvåger ny teknologi, rådgiver EU-domstolen og samarbejder med de nationale myndigheder.
Læs mere om EDPS her – eller på Datatilsynets hjemmeside her.
Se Audit.
Se Audit.
Resultatet af en audit
Se Direktiv.
Se Forordning.
Afløseren for EU-U.S. Privacy Shield, der blev godkendt af EU-kommissionen i juli 2023
EU-US DPF gør det nemmere at overføre persondata til USA, da man blot kan nøjes med at henvise til tilstrækkelighedsafgørelsen som overførselsgrundlag. Det betyder, at der ikke længere er krav om hverken at benytte EU-Kommissionens standardbestemmelser (SCC), bindende virksomhedsregler eller supplerende foranstaltninger. Alle disse er nemlig omfattet af EU-US DPF.
Efterhånden som modtagerne bliver certificerede, kan de findes på listen, som du finder her.
Læs også vores blogindlæg om EU-US DPF her.
Den juridiske ramme, der indtil 16. juli 2020 regulerede overførsel af personoplysninger mellem EU og USA.
Land, der er medlem af EU eller Det Europæiske Økonomiske Samarbejdsområde (EØS).
Læs mere om EØS-samarbejdet her – og se den fulde liste over EU/EØS-medlemmer her.
F
Formål
Formålene med at behandle data inden for de enkelte personkategorier.
Læs mere om hvilke data, du må behandle og på hvilket grundlag i vores FAQ, som du finder her.
Formålsbegrænsning
Indsamlede oplysninger må kun benyttes til de formål, de er indsamlet til, og er der ikke noget reelt formål, skal de slettes.
Læs mere om formål i vores FAQ under ‘Hvilke data må jeg behandle – og med hvilket grundlag?’, som du finder her.
Forordning
Forordninger og artikler er EU’s overnationale lovgivning, der står over dansk lov.
Gælder ensartet i alle EU-lande.
Læs mere om direktiver og forordninger på EU’s hjemmeside her.
Fortrolige personoplysninger
Særlig kategori af oplysninger, hvor særlige beskyttelsesbehov kan spille ind.
Fysiske arkiver
Fx papirer, ringbind o.l., der indeholder personoplysninger.
Følsomme personoplysninger
En række personoplysninger, der er skærpede krav til behandlingen af.
Formålene med at behandle data inden for de enkelte personkategorier.
Læs mere om hvilke data, du må behandle og på hvilket grundlag i vores FAQ, som du finder her.
Indsamlede oplysninger må kun benyttes til de formål, de er indsamlet til, og er der ikke noget reelt formål, skal de slettes.
Læs mere om formål i vores FAQ under ‘Hvilke data må jeg behandle – og med hvilket grundlag?’, som du finder her.
Forordninger og artikler er EU’s overnationale lovgivning, der står over dansk lov.
Gælder ensartet i alle EU-lande.
Læs mere om direktiver og forordninger på EU’s hjemmeside her.
Særlig kategori af oplysninger, hvor særlige beskyttelsesbehov kan spille ind.
Fx papirer, ringbind o.l., der indeholder personoplysninger.
En række personoplysninger, der er skærpede krav til behandlingen af.
G
GDPR
General Data Protection Regulation – på dansk Databeskyttelsesforordningen og Persondataforordningen. Har siden 25. maj 2018 været lovpligtig i Danmark.
GDPR er grundlæggende en EU-forordning, der skal styrke og harmonisere beskyttelsen af personoplysninger, så fysiske personer er sikret både ret til og kontrol over egne personlige oplysninger. I Danmark er området underlagt Datatilsynet.
Læs mere om GDPR her.
Genetiske data
Oplysninger om genetiske specifikationer hos den registrerede, ofte fra en biologisk prøve.
Genetisk data er en følsom personoplysning.
Gennemsigtighed
Den registreredes rettigheder og formålet med indsamling af data skal til enhver tid være tydelig for den registrerede. Desuden har den registrerede ret til at se, hvilke oplysninger, der bliver behandlet om vedkommende
General Data Protection Regulation – på dansk Databeskyttelsesforordningen og Persondataforordningen. Har siden 25. maj 2018 været lovpligtig i Danmark.
GDPR er grundlæggende en EU-forordning, der skal styrke og harmonisere beskyttelsen af personoplysninger, så fysiske personer er sikret både ret til og kontrol over egne personlige oplysninger. I Danmark er området underlagt Datatilsynet.
Læs mere om GDPR her.
Oplysninger om genetiske specifikationer hos den registrerede, ofte fra en biologisk prøve.
Genetisk data er en følsom personoplysning.
Den registreredes rettigheder og formålet med indsamling af data skal til enhver tid være tydelig for den registrerede. Desuden har den registrerede ret til at se, hvilke oplysninger, der bliver behandlet om vedkommende
H
Hacking
At uvedkommende får uautoriseret adgang til et system eller en computer/tablet/telefon.
I GDPR-sammenhæng ses hacking som et sikkerhedsbrud og skal som oftest anmeldes til Datatilsynet.
Se også Hændelse nedenfor.
Hjemmel
Det retslige grundlag, der giver dig ret til at indsamle og behandle personoplysninger.
Hændelse
Et brud på sikkerheden, der medfører, at persondata går tabt, bliver utilgængelig, tilintetgjort, ændret, offentliggjort, videregivet eller på anden vis bliver tilgængelig for uvedkommende.
Hændelser skal ofte anmeldes til Datatilsynet.
Læs mere om anmeldelse af databrud, og find en trin-for-trin guide på Datatilsynets hjemmeside her.
At uvedkommende får uautoriseret adgang til et system eller en computer/tablet/telefon.
I GDPR-sammenhæng ses hacking som et sikkerhedsbrud og skal som oftest anmeldes til Datatilsynet.
Se også Hændelse nedenfor.
Det retslige grundlag, der giver dig ret til at indsamle og behandle personoplysninger.
Et brud på sikkerheden, der medfører, at persondata går tabt, bliver utilgængelig, tilintetgjort, ændret, offentliggjort, videregivet eller på anden vis bliver tilgængelig for uvedkommende.
Hændelser skal ofte anmeldes til Datatilsynet.
Læs mere om anmeldelse af databrud, og find en trin-for-trin guide på Datatilsynets hjemmeside her.
I
Identificerbar
I GDPR-sammenhæng en personoplysning, der gør det muligt at identificere eller finde frem til en specifik person.
Indberetning
Et sikkerhedsbrud (hændelse) skal ofte indberettes til Datatilsynet.
Oplever du et sikkerhedsbrud kan du indberette det på virk.dk, som du finder her.
Indsamle data
Du må kun indsamle og behandle personoplysninger, når du har et lovligt grundlag for (hjemmel til) det.
Læs mere om indsamling og behandling af data på Datatilsynets hjemmeside her.
Indsigelsesret
Den registrerede har ret til at gøre indsigelse mod behandlingen af vedkommendes persondata.
Læs mere om ret til indsigelse på Datatilsynets hjemmeside her.
Indsigt
Den registrerede har som udgangspunkt ret til at se, hvilke oplysninger, der behandles om vedkommende, samt at få en kopi udleveret.
Læs mere om ret til indsigt på Datatilsynets hjemmeside her.
Indsigtsanmodning
En registreret kan anmode om indsigt i, hvilke oplysninger, der behandles om vedkommende.
Modtager man som virksomhed en indsigtsanmodning, har man som udgangspunkt en måned til at besvare henvendelsen.
Intern Audit
Se Audit.
Intern fortegnelse
IT-sikkerhed
De digitale sikkerhedstiltag, der beskytter virksomhedens (person-)data.
Fx backup og opdatering af programmer og styresystemer.
Læs mere om it-sikkerhed her – og læs 7 råd om it-sikkerhed på Sikker Digitals hjemmeside her.
IT-sikkerhedspolitik
I GDPR-sammenhæng en personoplysning, der gør det muligt at identificere eller finde frem til en specifik person.
Et sikkerhedsbrud (hændelse) skal ofte indberettes til Datatilsynet.
Oplever du et sikkerhedsbrud kan du indberette det på virk.dk, som du finder her.
Du må kun indsamle og behandle personoplysninger, når du har et lovligt grundlag for (hjemmel til) det.
Læs mere om indsamling og behandling af data på Datatilsynets hjemmeside her.
Den registrerede har ret til at gøre indsigelse mod behandlingen af vedkommendes persondata.
Læs mere om ret til indsigelse på Datatilsynets hjemmeside her.
Den registrerede har som udgangspunkt ret til at se, hvilke oplysninger, der behandles om vedkommende, samt at få en kopi udleveret.
Læs mere om ret til indsigt på Datatilsynets hjemmeside her.
En registreret kan anmode om indsigt i, hvilke oplysninger, der behandles om vedkommende.
Modtager man som virksomhed en indsigtsanmodning, har man som udgangspunkt en måned til at besvare henvendelsen.
Se Audit.
De digitale sikkerhedstiltag, der beskytter virksomhedens (person-)data.
Fx backup og opdatering af programmer og styresystemer.
Læs mere om it-sikkerhed her – og læs 7 råd om it-sikkerhed på Sikker Digitals hjemmeside her.
J
X
X
Se Xxx
Se mere i vores FAQ
K
Kontroller
Kontroller sørger for, at I altid er ajour med jeres GDPR – fx sletning eller tilsyn med databehandlere.
Kan evt. sættes op i et årshjul.
Kortlægning
Kortlægning af de systemer (eller processer), hvor der behandles persondata, er en grundlæggende del af GDPR.
Kryptering
En metode, der omdanner eller hemmeligholder data i fx en e-mail eller på en harddisk.
Krypteret data kan kun læses af den, der har nøglen til at omsætte det til læsbare data igen.
Kontroller sørger for, at I altid er ajour med jeres GDPR – fx sletning eller tilsyn med databehandlere.
Kan evt. sættes op i et årshjul.
Kortlægning af de systemer (eller processer), hvor der behandles persondata, er en grundlæggende del af GDPR.
En metode, der omdanner eller hemmeligholder data i fx en e-mail eller på en harddisk.
Krypteret data kan kun læses af den, der har nøglen til at omsætte det til læsbare data igen.
L
X
X
Se Xxx
Se mere i vores FAQ
M
Malware
Software, der er designet til at skade din computer/telefon/tablet eller tilegne sig data uden tilladelse.
Fx virus, ransomware eller spyware.
Markedsføring
Når markedsføring indebærer behandling af personoplysninger, er det omfattet af GDPR-lovgivningen.
Derudover kan det være omfattet af markedsføringsloven, forbrugeraftaleloven og cookiebekendtgørelsen.
Læs Datatilsynets vejledning om direkte markedsføring her (juni 2023).
Medarbejderinstruks
En medarbejderinstruks pålægger medarbejderne de pligter, som databeskyttelsesreglerne kræver.
Software, der er designet til at skade din computer/telefon/tablet eller tilegne sig data uden tilladelse.
Fx virus, ransomware eller spyware.
Når markedsføring indebærer behandling af personoplysninger, er det omfattet af GDPR-lovgivningen.
Derudover kan det være omfattet af markedsføringsloven, forbrugeraftaleloven og cookiebekendtgørelsen.
Læs Datatilsynets vejledning om direkte markedsføring her (juni 2023).
En medarbejderinstruks pålægger medarbejderne de pligter, som databeskyttelsesreglerne kræver.
N
NIS2
EU-direktiv, der medio 2024 afløser NIS fra 2018.
Formålet er at sikre infrastruktur og samfundskritiske tjenester mod nedbrud og cybertrusler via et ensartet, højt sikkerhedsniveau i hele EU.
Læs mere i vores blogindlæg om NIS2 her.
EU-direktiv, der medio 2024 afløser NIS fra 2018.
Formålet er at sikre infrastruktur og samfundskritiske tjenester mod nedbrud og cybertrusler via et ensartet, højt sikkerhedsniveau i hele EU.
Læs mere i vores blogindlæg om NIS2 her.
O
Opbevaring
Persondata må ikke opbevares i længere tid, end det er nødvendigt for at kunne opfylde det formål, dataene er indsamlet til.
Dette kræver ofte en individuel vurdering, der dog skal kunne dokumenteres.
Oplysningspligt
Den registrerede skal skriftligt og i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og tydeligt sprog kunne få oplyst, hvilke data, virksomheden har registreret om vedkommende, samt hvorfra oplysningerne stammer, hvis de ikke er afgivet af vedkommende selv (men kommer fra en tredjepart).
Det skal også oplyses, med hvilket formål og hjemmel, dataene opbevares, hvem der internt og eksternt modtager disse data, samt om der foregår overførsel til tredjelande.
Læs mere om oplysningspligt i vores FAQ under ‘Hvad betyder oplysningspligt?’, som du finder her.
Overførsel til tredjeland
Når persondata forlader EU/EØS og/eller gøres tilgængelig i et tredjeland
Der har været en del uklarhed omkring overførsel af data til sikre og usikre tredjelande, men med indførelsen af EU-U.S. Data Protection Framework, er der kommet regler for overførsel af data til USA. I forhold til øvrige tredjelande kan du finde mere information i Datatilsynets vejledning til overførsel af persondata til tredjelande.
Læs mere om EU-U.S. DPF i vores blogindlæg her – eller download Datatilsynets vejledning omkring tredjelande her.
Overførselsgrundlag
Den hjemmel hvormed du overfører personoplysninger til et usikkert tredjeland.
Persondata må ikke opbevares i længere tid, end det er nødvendigt for at kunne opfylde det formål, dataene er indsamlet til.
Dette kræver ofte en individuel vurdering, der dog skal kunne dokumenteres.
Den registrerede skal skriftligt og i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og tydeligt sprog kunne få oplyst, hvilke data, virksomheden har registreret om vedkommende, samt hvorfra oplysningerne stammer, hvis de ikke er afgivet af vedkommende selv (men kommer fra en tredjepart).
Det skal også oplyses, med hvilket formål og hjemmel, dataene opbevares, hvem der internt og eksternt modtager disse data, samt om der foregår overførsel til tredjelande.
Læs mere om oplysningspligt i vores FAQ under ‘Hvad betyder oplysningspligt?’, som du finder her.
Når persondata forlader EU/EØS og/eller gøres tilgængelig i et tredjeland
Der har været en del uklarhed omkring overførsel af data til sikre og usikre tredjelande, men med indførelsen af EU-U.S. Data Protection Framework, er der kommet regler for overførsel af data til USA. I forhold til øvrige tredjelande kan du finde mere information i Datatilsynets vejledning til overførsel af persondata til tredjelande.
Læs mere om EU-U.S. DPF i vores blogindlæg her – eller download Datatilsynets vejledning omkring tredjelande her.
Den hjemmel hvormed du overfører personoplysninger til et usikkert tredjeland.
P
Persondata
Se Personoplysninger nedenfor.
Persondataforordningen
Persondatakategori
Databeskyttelsesforordningen opdeler personoplysninger i tre persondatakategorier: almindelige, følsomme og fortrolige.
Læs mere om typer af personoplysninger her – eller læs mere på Datatilsynets hjemmeside her.
Persondatapolitik
Beskriver hvordan en virksomhed, myndighed eller organisation behandler persondata.
Hør Datatilsynets podcast om at lave en god persondatapolitik her.
Personhenførbare data
Se Personoplysninger nedenfor.
Personkategori
Den kategori, der behandles eller opbevares data om, fx leverandører, kunder, ansatte, patienter, borgere eller medlemmer.
Personnummer
Se CPR-nummer.
Personoplysninger
Information, der kan henføres til en bestemt person, også selv om personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger.
Phishing
Typisk en e-mail, sms eller besked på sociale medier, hvor nogen forsøger at franarre andre personer eller virksomheder oplysninger.
Planlagte tilsyn
Se Tilsyn.
Portrætbillede
Privacy by default
På dansk: Databeskyttelse gennem standardindstillinger. Kun nødvendige personoplysninger indsamles og behandles til ét konkret formål, samt at personoplysningerne ikke unødigt stilles til rådighed for et ubegrænset antal personer.
Privacy by design
På dansk: Indbygget databeskyttelse eller Databeskyttelse gennem design. Når databeskyttelse er tænkt ind fra starten i en given aktivitet eller i et (nyt) IT-system, så det også bliver en integreret del af alle relevante processer.
Procestilgang
Se Systemtilgang.
Profilering
Automatisk behandling af personoplysninger.
Ofte med det formål at kortlægge en given persons forbrugs- og/eller adfærdsmønster med henblik på mere målrettet markedsføring, som fx brug af cookies til at registrere interesse for et givent produkt.
Pseudonymisering
Kryptering af personoplysninger, så de ikke længere kan identificere en konkret person uden brug af supplerende oplysninger. Disse skal dog opbevares utilgængeligt og separat fra personoplysningerne.
Se Personoplysninger nedenfor.
Databeskyttelsesforordningen opdeler personoplysninger i tre persondatakategorier: almindelige, følsomme og fortrolige.
Læs mere om typer af personoplysninger her – eller læs mere på Datatilsynets hjemmeside her.
Beskriver hvordan en virksomhed, myndighed eller organisation behandler persondata.
Hør Datatilsynets podcast om at lave en god persondatapolitik her.
Se Personoplysninger nedenfor.
Den kategori, der behandles eller opbevares data om, fx leverandører, kunder, ansatte, patienter, borgere eller medlemmer.
Se CPR-nummer.
Information, der kan henføres til en bestemt person, også selv om personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger.
Typisk en e-mail, sms eller besked på sociale medier, hvor nogen forsøger at franarre andre personer eller virksomheder oplysninger.
Se Tilsyn.
På dansk: Databeskyttelse gennem standardindstillinger. Kun nødvendige personoplysninger indsamles og behandles til ét konkret formål, samt at personoplysningerne ikke unødigt stilles til rådighed for et ubegrænset antal personer.
På dansk: Indbygget databeskyttelse eller Databeskyttelse gennem design. Når databeskyttelse er tænkt ind fra starten i en given aktivitet eller i et (nyt) IT-system, så det også bliver en integreret del af alle relevante processer.
Se Systemtilgang.
Automatisk behandling af personoplysninger.
Ofte med det formål at kortlægge en given persons forbrugs- og/eller adfærdsmønster med henblik på mere målrettet markedsføring, som fx brug af cookies til at registrere interesse for et givent produkt.
Kryptering af personoplysninger, så de ikke længere kan identificere en konkret person uden brug af supplerende oplysninger. Disse skal dog opbevares utilgængeligt og separat fra personoplysningerne.
R
Register
En struktureret samling af personoplysninger, hvor der kan søges efter bestemte kriterier, som fx de fleste databaser med personoplysninger, lige fra lønsystemer til CRM-systemer og leverandørarkiver.
Ret til indsigelse
Se Indsigelsesret.
Ret til indsigt
Se Indsigt.
Retshåndhævelsesdirektivet
Den officielle titel på retshåndhævelsesdirektivet er: Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA.
Rettigheder
Rimelighed
Al behandling af persondata skal være rimelig, hvilket er mere end bare at overholde loven.
En databehandling kan godt være lovlig, men samtidig urimelig, hvilket i sidste ende vurderes af tilsynsmyndigheden på baggrund af den gældende gængse opfattelse i samfundet. Ofte er der tale om sund fornuft.
Risikovurdering
En vurdering og kortlægning af, hvilke risici for den registreredes rettigheder en behandling af persondata indebærer.
Læs mere om risikovurdering på Datatilsynets hjemmeside her.
Rådgiver
Ekstern ekspert, fx jurist eller revisor, der kan hjælpe en virksomhed med GDPR.
Vi har samlet eksperter indenfor GDPR og GDPR-relaterede områder over hele landet, der alle kender Lexoforms. Tag fat i en af dem, hvis du mangler rådgivning.
En struktureret samling af personoplysninger, hvor der kan søges efter bestemte kriterier, som fx de fleste databaser med personoplysninger, lige fra lønsystemer til CRM-systemer og leverandørarkiver.
Se Indsigelsesret.
Se Indsigt.
Den officielle titel på retshåndhævelsesdirektivet er: Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA.
Al behandling af persondata skal være rimelig, hvilket er mere end bare at overholde loven.
En databehandling kan godt være lovlig, men samtidig urimelig, hvilket i sidste ende vurderes af tilsynsmyndigheden på baggrund af den gældende gængse opfattelse i samfundet. Ofte er der tale om sund fornuft.
En vurdering og kortlægning af, hvilke risici for den registreredes rettigheder en behandling af persondata indebærer.
Læs mere om risikovurdering på Datatilsynets hjemmeside her.
Ekstern ekspert, fx jurist eller revisor, der kan hjælpe en virksomhed med GDPR.
Vi har samlet eksperter indenfor GDPR og GDPR-relaterede områder over hele landet, der alle kender Lexoforms. Tag fat i en af dem, hvis du mangler rådgivning.
S
Samtykke
Den registrerede giver lov til, at personoplysninger omkring vedkommende bliver lagret og behandlet.
Forinden skal vedkommende dog være informeret om sin ret til når som helst at kunne tilbagetrække sit samtykke.
SCC
Standard Contractual Clauses – på dansk: Standardkontraktbestemmelser.
Bruges som hjemmel for overførsel mellem EU/EØS-lande og ikke-godkendte, usikre tredjelande.
Sikkerhedsbrud
Se Hændelse.
Sikkerhedspolitik
Etablerede og dokumenterede sikkerhedsforanstaltninger i virksomheden, der efterlever de krav, der er stillet i forhold til at sikre beskyttelsen af persondata.
Fx Firewall, antivirus, kryptering og backup.
Læs mere om sikkerheds- og informationspolitik i vores FAQ her.
Sikre tredjelande
Lande, der er af EU-kommissionen, er godkendt som sikre, så der kan overføres data til landet.
Læs mere i vores FAQ om hvilke tredjelande, der er sikre – eller se listen over sikre tredjelande på Datatilsynets hjemmeside her.
Situationsbillede
Et billede af en given aktivitet eller situation – modsat fx et portrætbillede.
Indtil 2019 skelnede Datatilsynet mellem situationsbilleder og portrætbilleder, hvor situationsbilleder måtte offentliggøres uden samtykke fra personerne på billedet. I dag skal der ske en vurdering af retsgrundlaget og en interesseafvejning i forhold til det enkelte billeder.
Læs mere om billeder på internettet på Datatilsynets hjemmeside her.
Sletning
Persondata skal slettes, når de ikke længere er nødvendige til det formål, de er indsamlet.
Standardkontrakter
Se SCC ovenfor.
Standardtekster
I Lexoforms finder du en række GDPR-relevante tekster/dokumenter, der kan tilpasses og bruges flere steder.
Disse omfatter blandt andet medarbejderinstruks, oplysningspligter, databehandleraftale og samtykke.
Strafbare forhold
Fx domme og rettighedsfrakendelser. I GDPR-sammenhæng almindelige personoplysninger, og er særskilt reguleret i databeskyttelsesloven.
Almindelige virksomheder må ikke føre registre over strafbare forhold, og kan kun indhente oplysninger om strafbare forhold, hvis de får et samtykke til det fra den pågældende medarbejder eller samarbejdspartner – og det er relevant for det konkrete arbejde, der skal udføres.
System
Der, hvor persondata behandles eller opbevares.
Fx et lønsystem, økonomisystem, fil-arkiv, sociale medier, kørselsregistrering, CRM, e-mail, overvågningssystem, webshop og mange andre.
Systemtilgang
Kortlægning af, hvilke personoplysninger, der behandles i hvilke systemer.
Modsat procestilgang, hvor det kortlægges i hvilke processer, der behandles persondata.
Læs mere om vores systemtilgang vs. procestilgang under Support.
Særlige kategorier af personoplysninger
Den registrerede giver lov til, at personoplysninger omkring vedkommende bliver lagret og behandlet.
Forinden skal vedkommende dog være informeret om sin ret til når som helst at kunne tilbagetrække sit samtykke.
Standard Contractual Clauses – på dansk: Standardkontraktbestemmelser.
Bruges som hjemmel for overførsel mellem EU/EØS-lande og ikke-godkendte, usikre tredjelande.
Se Hændelse.
Etablerede og dokumenterede sikkerhedsforanstaltninger i virksomheden, der efterlever de krav, der er stillet i forhold til at sikre beskyttelsen af persondata.
Fx Firewall, antivirus, kryptering og backup.
Læs mere om sikkerheds- og informationspolitik i vores FAQ her.
Lande, der er af EU-kommissionen, er godkendt som sikre, så der kan overføres data til landet.
Læs mere i vores FAQ om hvilke tredjelande, der er sikre – eller se listen over sikre tredjelande på Datatilsynets hjemmeside her.
Et billede af en given aktivitet eller situation – modsat fx et portrætbillede.
Indtil 2019 skelnede Datatilsynet mellem situationsbilleder og portrætbilleder, hvor situationsbilleder måtte offentliggøres uden samtykke fra personerne på billedet. I dag skal der ske en vurdering af retsgrundlaget og en interesseafvejning i forhold til det enkelte billeder.
Læs mere om billeder på internettet på Datatilsynets hjemmeside her.
Persondata skal slettes, når de ikke længere er nødvendige til det formål, de er indsamlet.
Se SCC ovenfor.
I Lexoforms finder du en række GDPR-relevante tekster/dokumenter, der kan tilpasses og bruges flere steder.
Disse omfatter blandt andet medarbejderinstruks, oplysningspligter, databehandleraftale og samtykke.
Fx domme og rettighedsfrakendelser. I GDPR-sammenhæng almindelige personoplysninger, og er særskilt reguleret i databeskyttelsesloven.
Almindelige virksomheder må ikke føre registre over strafbare forhold, og kan kun indhente oplysninger om strafbare forhold, hvis de får et samtykke til det fra den pågældende medarbejder eller samarbejdspartner – og det er relevant for det konkrete arbejde, der skal udføres.
Der, hvor persondata behandles eller opbevares.
Fx et lønsystem, økonomisystem, fil-arkiv, sociale medier, kørselsregistrering, CRM, e-mail, overvågningssystem, webshop og mange andre.
Kortlægning af, hvilke personoplysninger, der behandles i hvilke systemer.
Modsat procestilgang, hvor det kortlægges i hvilke processer, der behandles persondata.
Læs mere om vores systemtilgang vs. procestilgang under Support.
T
TIA
Transfer Impact Assesment. Analyse af om overførslen af personoplysninger til et usikkert tredjeland kan ske på et lovligt grundlag.
Tilsyn med databehandler
Dataansvarlige har pligt til at føre tilsyn med, at leverandører (fx en databehandler eller en underdatabehandler) overholder reglerne.
Tilsyn fra Datatilsynet
Datatilsynet fører tilsyn med, at myndigheder, virksomheder og andre dataansvarlige og databehandlere overholder GDPR-reglerne
Tilsynene kan være planlagte som en del af den årlige tilsynsplanlægning eller det kan være ad hoc-tilsyn, der iværksættes på baggrund af konkrete hændelser.
Tredjeland
Tredjelandsoverførsler
Transfer Impact Assesment. Analyse af om overførslen af personoplysninger til et usikkert tredjeland kan ske på et lovligt grundlag.
Dataansvarlige har pligt til at føre tilsyn med, at leverandører (fx en databehandler eller en underdatabehandler) overholder reglerne
Datatilsynet fører tilsyn med, at myndigheder, virksomheder og andre dataansvarlige og databehandlere overholder GDPR-reglerne
Tilsynene kan være planlagte som en del af den årlige tilsynsplanlægning eller det kan være ad hoc-tilsyn, der iværksættes på baggrund af konkrete hændelser.
U
Underdatabehandler
En databehandler kan videregive en eller flere opgaver til en underdatabehandler, der har mindst de samme forpligtelser som databehandleren.
Det kræver dog en skriftlig godkendelse fra den dataansvarlige, da underdatabehandleren handler på vegne af den dataansvarlige – og ikke databehandleren. Derfor er det en god idé at præcisere ansvaret i en databehandleraftale.
Usikkert tredjeland/organisation
Land/organisation uden for EU/EØS, der ikke er godkendt som sikkert af EU-Kommissionen.
Se listen over godkendte tredjelande og organisationer på Datatilsynets hjemmeside her.
Utilsigtet videregivelse
Videregivelse af persondata uden lovligt grundlag/hjemmel.
Fx e-mails sendt til forkerte modtagere.
Utilsigtet adgang
Andre personer end dem, der er autoriseret til det, har adgang til data.
En databehandler kan videregive en eller flere opgaver til en underdatabehandler, der har mindst de samme forpligtelser som databehandleren.
Det kræver dog en skriftlig godkendelse fra den dataansvarlige, da underdatabehandleren handler på vegne af den dataansvarlige – og ikke databehandleren. Derfor er det en god idé at præcisere ansvaret i en databehandleraftale.
Land/organisation uden for EU/EØS, der ikke er godkendt som sikkert af EU-Kommissionen.
Se listen over godkendte tredjelande og organisationer på Datatilsynets hjemmeside her.
Videregivelse af persondata uden lovligt grundlag/hjemmel.
Fx e-mails sendt til forkerte modtagere.
Andre personer end dem, der er autoriseret til det, har adgang til data.
V
Videregive data
Som udgangspunkt må persondata ikke videregives uden den registreredes samtykke.
Der er dog undtagelser, som kan findes i Databeskyttelseslovens §13, som du finder her.
Virksomhedsoplysninger
Når du opretter dig med CVR-nummer på Lexoforms.com trækker vi dine virksomhedsoplysninger fra CVR-registret.
Du har altid mulighed for at rette i dem efterfølgende.
Som udgangspunkt må persondata ikke videregives uden den registreredes samtykke.
Der er dog undtagelser, som kan findes i Databeskyttelseslovens §13, som du finder her.
Når du opretter dig med CVR-nummer på Lexoforms.com trækker vi dine virksomhedsoplysninger fra CVR-registret.
Du har altid mulighed for at rette i dem efterfølgende.
X
X
X
Se Xxx
Se mere i vores FAQ
Har du spørgsmål?
Har du spørgsmål omkring GDPR, vores løsning eller andet, kan du booke et møde med Martin eller Daniel. Book 15 min., 30 min. eller en time