GDPR står for General Data Protection Regulation og er en EU-lov der blev vedtaget i 2016. På dansk kalder vi GDPR for Databeskyttelsesforordningen, eller Persondataforordningen. I Danmark har vi udover forordningen også Databeskyttelsesloven.
I korte træk handler forordningen om at beskytte personer i forbindelse med den digitale og manuelle håndtering af deres personoplysninger. På den måde kan man sikre, at telefonnumre, e-mailadresser, økonomiske forhold eller lignende, ikke ender i de forkerte hænder.
Loven trådte i kraft den 25. maj 2018.
Læs mere omkring GDPR nedenfor.
Indholdsfortegnelse
Se introwebinar til GDPR
Vi har afholdt et webinar, som vi kalder for “Udvid din GDPR-forståelse – sådan kommer du i gang!”. Webinaret besvarer spørgsmål som “Hvor skal jeg starte?” og “Hvad går det egentlig ud på?“.
Det fokuserer således meget på introduktionen til GDPR, og det giver samtidig nogle værktøjer og idéer til, hvordan man kommer i gang.
Hvad er personoplysninger?
En personoplysning er information, altså data, der gælder en enkelt person. Personoplysninger kaldes også for persondata.
Personoplysninger kan f.eks. være navn, adresse, telefonnummer,
e-mailadresse, oplysninger om gæld, økonomi eller skat, politisk overbevisning, religiøs overbevisning, helbredsoplysninger og mange flere.
Personoplysninger opdeles i tre kategorier. Se kategorierne, og eksempler på hvilken salgs personoplysninger der findes i hver kategori, nedenfor.
Almindelige personoplysninger (også kaldet ikke-følsomme oplysninger):
- Navn
- Adresse
- Telefonnummer
- Oplysninger om økonomi, gæld og skat
- Sygedage
- CV
- Arbejdsområde
- Og mange andre…
Særlige kategorier af personoplysninger (også kaldet følsomme oplysninger):
- Race og etnisk oprindelse
- Politisk overbevisning
- Religiøs eller filosofisk overbevisning
- Fagforeningsmæssige tilhørsforhold
- Genetisk data
- Biometriske data med henblik på entydig identifikation
- Helbredsoplysninger
- Seksuelle forhold eller seksuel orientering
Det er kun oplysningerne ovenfor som er i denne kategori.
Oplysninger om straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger.
- Overtrædelser af lovgivningen
- Frakendelser (f.eks. af kørekort)
Det handler altså om data.
Inden for GDPR taler man om, at man behandler data. Læs mere nedenfor.
Opret en gratis demo
Kom i gang med dit GDPR-arbejde.
Opret en One Step Privacy-konto allerede i dag. Det tager kun få minutter at komme i gang.
Hvad betyder det at behandle data?
At behandle data betyder, at man f.eks. indsamler, registrerer, videregiver, sletter, opbevarer, ændrer eller bruger data. Det er altså en hver form for håndtering.
Det kan f.eks. være indsamling af e-mailadresser til et nyhedsbrev eller en liste med telefonnumre over medlemmer eller ansatte.
Virksomheder, foreninger og organisationer behandler altså data nærmest hele tiden. Selv opbevaring af data tæller også som en behandling.
Når man behandler data, skal man være opmærksom på, om man er dataansvarlig eller databehandler.
Læs mere nedenfor.
Hvad er forskellen mellem dataansvarlig og databehandler?
Under GDPR skal du være opmærksom på, at man skelner mellem dataansvarlig og databehandler. Det skal man fordi, der gælder forskellige regler.
Dataansvarlig: Den person, virksomhed eller organisation, der afgør formålet med behandlingen af personoplysninger, og hvilke hjælpemidler der må bruges til behandlingen.
- Eksempel: Hvis du har din egen tandlægeklinik, og du indsamler telefonnumre og navne på dine patienter.
Databehandler: Den person, virksomhed eller organisation, der behandler personoplysninger, men som gør det på vegne af den dataansvarlige.
- Eksempel: Du har en IT-virksomhed, hvor du behandler persondata elektronisk for dine kunder.
Grunden til, at du skal være opmærksom på forskellen er, at der med GDPR følger en masse forpligtelser – ting som den dataansvarlige skal gøre, og ting som databehandleren skal gøre.
Forpligtelser for den dataansvarlige:
- Skal kunne bevise, at behandlingen af personoplysninger sker i overensstemmelse med GDPR-reglerne. Herunder at:
- Man har lov til at behandle oplysningerne, som man er i besiddelse af.
- Personernes rettigheder overholdes.
- Hvis der sker et brud på dette, skal den dataansvarlige indberette bruddet til Datatilsynet.
- Føre en fortegnelse over behandlingsaktiviteterne (læs mere i afsnittet ’Hvad er en fortegnelse?’).
- Man kan lave en databehandleraftale mellem den dataansvarlige og databehandleren (læs mere nedenfor). Den dataansvarlige har dog stadig ansvaret, og skal sikre, at aftalen overholdes af begge parter.
Forpligtelser for databehandleren:
- Hvis databehandleren ønsker at bruge en tredjepart eller såkaldt underdatabehandler, skal databehandleren aftale det med den dataansvarlige først.
Bliv compliant
At være compliant med GDPR betyder, at man overholder forordningen.
Det kan virke uoverskueligt for mange, men det er nemt at komme i gang.
Begynd allerede i dag.
Opret gratis demoHvad er databehandleraftaler?
Hvis to parter behandler data, og den ene part er dataansvarlig og den anden part er databehandler, vil der være tale om en databehandlerkonstruktion. Denne konstruktion kræver en databehandleraftale.
Den dataansvarlige skal sikre, at der laves en databehandleraftale. Det er altså en kontrakt, som er bindende for databehandleren – og den skal være skriftlig og elektronisk.
En databehandleraftale skal blandt andet indeholde:
- Hvorfor og hvor længe data skal behandles
- Karakteren af behandlingen og formålet med behandlingen
- Hvilken slags personoplysninger/persondata der er tale om
- Kategorierne af dem, som du har oplysninger om, og dine forpligtelser og rettigheder som dataansvarlig, samt databehandlerens forpligtelser i forhold til opgaven
Dette er ikke en fuldkommen liste. En databehandleraftale skal indeholde mere. One Step Privacys værktøj tager højde for alt dette.
Hvornår er det nødvendigt med en databehandleraftale?
Det er nødvendigt med en databehandleraftale, når en aftale mellem to parter drejer sig om behandling af personoplysninger, og den ene (databehandleren) handler efter anvisninger af den anden (den dataansvarlige).
Med andre ord: Når der er tale om en databehandlerkonstruktion.
- Eksempel: Som selvstændig tandlæge sender du en reminder ud til dine kunder. Denne reminder sker i form af en e-mail, og håndteres af et eksternt bureau. Bureauet har altså adgang til dine kunders e-mailadresser, som er en personoplysning. Du skal derfor lave en databehandleraftale mellem dig selv (din tandlægeklinik) og bureauet der håndterer dine e-mail-reminders.
Det er altså nødvendigt at have en databehandleraftale, fordi den dataansvarlige sender nogle opgaver videre til databehandleren – og disse, som navnet viser, indeholder persondata/personoplysninger.
Hvis opgaven ikke indeholder persondata/personoplysninger, er en databehandleraftale ikke nødvendig.
- Eksempel: Computeren i din tandlægeklinik virker ikke, og du ringer til en computer-reparatør. Reparatøren skal sørge for, at computeren virker ligesom før. Reparatøren skal altså ikke have noget at gøre med den data, som ligger på computeren. Derfor er det ikke nødvendigt at lave en databehandleraftale mellem din tandlægeklinik og reparatøren.
Udover databehandleraftaler, er det også vigtigt at have fokus på fortegnelser, hvis man er dataansvarlig eller hvis man er databehandler.
Hvad er en fortegnelse?
En fortegnelse er et overblik over behandlingen af data, som du udfører – uanset hvilken slags personoplysninger behandlingen omfatter. Fortegnelsen skal være skriftlig og elektronisk. Dette kaldes også for Artikel 30.
Fortegnelsen skal indeholde noget forskelligt afhængigt af om du er dataansvarlig eller databehandler, men du skal faktisk lave en fortegnelse, uanset om du er den ene eller den anden.
Krav til indhold når du er dataansvarlig:
Den dataansvarliges navn og kontaktoplysninger
Formålet med behandlingen
For alle de behandlingsaktiviteter, som du er ansvarlig for. Hvis flere behandlingsaktiviteter hører under det samme formål, må du gerne samle dem. Hvis ikke, skal du lave en fortegnelse til hver behandlingsaktivitet.
Kategorier af registrerede og kategorier af personoplysninger
Kategorier af registrerede kan f.eks. være medlemmer, ansøgere, patienter osv.
Kategorier af personoplysninger kan være ”ikke-følsomme oplysninger” (f.eks. navn, adresse, e-mail osv.), ”følsomme oplysninger” (f.eks. race og etnisk oprindelse, politisk overbevisning, helbredsoplysninger) eller ”oplysninger om straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger”. Læs mere i afsnittet ”Hvad er personoplysninger”.
Kategorier af modtagere ved videregivelse
Her skal du skrive hvem modtageren er, hvis du vil videregive oplysninger. Det kan f.eks. være offentlige myndigheder (SKAT), andre elever/forældre eller skolefotofirma. Hvis der videregives personoplysninger, skal kategorien for personoplysninger også skrives her. Du skal også skrive, hvilke kategorier af registrerede (f.eks. medlemmer, ansøgere, patienter), som oplysningerne vedrører.
Vær obs på: at hvis videregiver oplysninger til en international organisation eller et tredjeverdensland*, skal du også angive det.
Overførsler til tredjelande* og internationale organisationer
Hvis du videregiver oplysninger til tredjelande* eller til internationale organisationer, skal du skrive i fortegnelsen, hvem modtageren er – altså hvilket tredjeland* eller hvilken international organisation. Hvis du videregiver personoplysninger, skal du også skrive, hvilken kategori af personoplysninger de tilhører, og hvilken kategori af registrerede (f.eks. medlemmer, ansøgere, patienter), som oplysningerne vedrører.
Slettefrister
For de forskellige kategorier af oplysninger du behandler, skal du angive slettefristen. Du må ikke opbevare personoplysninger som gør, at du kan identificere den registrerede i længere tid end nødvendigt. Overordnet set skal du her dokumentere de overvejelser, som du (den dataansvarlige) skal gøre dig.
Tekniske og organisatoriske foranstaltninger
Her skal du skrive, hvad du som dataansvarlig gør for at sikre, at personoplysningerne behandles med en passende sikkerhed. Det gælder både teknisk og organisatorisk. Samtidig skal du også kunne bevise, at du efterlever de foranstaltninger, som du har skrevet her.
Krav til indhold når du er databehandler:
Databehandlerens navn og kontaktoplysninger
Kategorier af behandlinger
De kategorier af behandlinger som foretages på vegne af den dataansvarlige. Det kan f.eks. være oprettelse, strukturering, formidling. Her kan det være en god idé at se på processen, som oplysningen løber igennem, f.eks. udregning af feriedage.
Overførsler til tredjelande og internationale organisationer
Hvis du videregiver oplysninger til tredjelande* eller til internationale organisationer, skal du skrive i fortegnelsen, hvem modtageren er – altså hvilket tredjeland eller hvilken international organisation.
Tekniske og organisatoriske foranstaltninger
Her skal du skrive, hvad du som dataansvarlig gør for at sikre, at personoplysningerne behandles med en passende sikkerhed. Det gælder både teknisk og organisatorisk. Samtidig skal du også kunne bevise, at du efterlever de foranstaltninger, som du har skrevet her.
*Et tredjeland er et land, som ikke er medlem af EU eller EØS.
GDPR for foreninger
GDPR gælder alle organisationer – også foreninger.
Læs mere her omkring GDPR for foreninger.
Opret en gratis demo
Kom i gang med dit GDPR-arbejde.
Opret en gratis One Step Privacy-demokonto allerede i dag. Det tager kun få minutter at komme i gang.