Vi gør snak til handling

Lad os hjælpe din virksomhed med at leve op til GDPR

GDPR FAQ

Her finder du relevante spørgsmål og svar om GDPR

Hvad er GDPR?

EU’s persondataforordning – også kaldet GDPR – er trådt i kraft d. 25. maj 2018. De nye regler betyder, at virksomheder skal kigge deres håndtering af persondata efter i sømmene, og persondataforordningen vil derfor få store konsekvenser for det danske erhvervsliv.

Men hvad er GDPR egentlig? Og hvordan skal du forholde dig til persondataforordningen, hvis du sidder på direktionsgangen, i HR-, regnskabs- eller IT- afdelingen? Læs med her, og bliv lidt klogere på GDPR.

Hvad står GDPR for?

GDPR er en forkortelse for General Data Protection Regulation, som er den formelle engelske betegnelse for persondataforordningen. På dansk går loven også under den officielle betegnelse databeskyttelsesordningen. GDPR, General Data Protection Regulation, databeskyttelsesforordningen og persondataforordningen er altså synonyme betegnelser, der alle dækker over én og samme lovgivning.

Hvad er formålet med GDPR?

Kort fortalt har GDPR til formål at styrke beskyttelsen af personoplysninger i EU. Persondataforordningen er dog en kompleks størrelse, og det er et omfattende arbejde at sætte sig ind i lovgivningen. Hos ALSO har vi partnere, der står klar til at rådgive og klæde dig på til at kunne igangsætte de processer, som loven foreskriver. Du er altid velkommen til at kontakte os, hvis du har spørgsmål. Vi hjælper dig gerne med at blive klogere på GDPR.

Hvad er personoplysninger?

Personoplysning er enhver form for information om en identificerbar, fysisk person – dvs. en fysisk person, der direkte eller indirekte kan identificeres ved f.eks. navn, identifikationsnummer, lokaliseringsdata, onlineidentifikator eller ved elementer, der er særlige for personens fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.

Hvad er behandling?

Behandling skal forstås som enhver form for aktivitet, som personoplysninger gøres til genstand for - uanset om aktiviteten er automatisk eller ej. Det kan f.eks. være indsamling, registrering, organisering, systematisering, opbevaring, tilpasning, ændring, fremsøgning, brug, videregivelse, formidling eller enhver anden form for sammenstilling, begrænsning, sletning eller tilintetgørelse af data.

Alt, hvad du foretager dig med personoplysningerne, er en behandling - inkl. opbevaring af data.

Hvad betyder "den registrerede"?

”Den registrerede” dækker over den identificerbare, fysiske person, som personoplysningerne vedrører.

Hvad er en dataansvarlig?

En dataansvarlig er en person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør formålet med databehandlingen – og hvilke hjælpemidler, der må anvendes til det formål.

Den person eller instans, som beslutter og instruerer, hvad der skal ske med personoplysningerne, er dataansvarlig. En virksomhed, som f.eks. beslutter formålet med behandlingen, er dataansvarlig. Virksomheder er typisk dataansvarlige for deres egne kunde- og personaleoplysninger.

Hvad er en databehandler?

En databehandler er en person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne. En databehandler vil typisk være en it-virksomhed.

Hvad er samtykke?

Samtykke er en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede person, hvor vedkommende med en erklæring eller klar bekræftelse indvilliger i, at hendes eller hans personoplysninger gøres til genstand for behandling.

I dette tilfælde har den dataansvarlige altså fat i hver eneste registrerede og beder om samtykke. Den registrerede kan til enhver tid trække samtykket tilbage. Den rettighed skal personen gøres opmærksom på, når samtykket indhentes. Virksomheden bør overveje, om der er andre retslige grunde for databehandlingen - f.eks. kontrakt eller interesseafvejning. Der er særlige regler for børn ift. samtykke.

Hvad er en modtager?

En person, en offentlig myndighed, en institution eller et andet organ, som får overdraget personoplysninger - uanset om det er en tredjemand eller ej. Offentlige myndigheder, som modtager personoplysninger som led i en isoleret forespørgsel (i henhold til EU-retten eller medlemsstaternes nationale ret), betragtes dog ikke som modtagere. De offentlige myndigheders behandling af disse oplysninger skal overholde de gældende databeskyttelsesregler - afhængigt af formålet med behandlingen.

En modtager er et bredere begreb end en tredjemand og må som minimum inkludere både tredjemænd (til hvem, der sker videregivelse) og databehandlere (til hvem, der sker overladelse).

Hvad er tredjemand?

En person, offentlig myndighed eller institution eller ethvert andet organ end den registrerede, den dataansvarlige, databehandleren og de personer under den dataansvarliges eller databehandlerens direkte myndighed, der er beføjet til at behandle personoplysninger.

En tredjemand er f.eks. en anden virksomhed, som får en selvstændig ret til at behandle personoplysningerne.

Hvad er videregivelse?

Videregivelse af personoplysninger indebærer, at oplysningerne bliver meddelt til en tredjemand, som herefter har en selvstændig ret til at behandle oplysningerne. Der er f.eks. tale om en videregivelse, når du køber eller sælger personoplysninger mellem virksomheder, når du videregiver personoplysninger til en offentlig myndighed, eller når der formidles oplysninger mellem to juridiske enheder i en koncern.

Hvad er overladelse?

En overladelse af personoplysninger indebærer, at den, som oplysningerne meddeles til, alene må behandle personoplysningerne på den dataansvarliges vegne - og efter dennes instruks. Der er f.eks. tale om en overladelse, når en dataansvarlig bruger en it-virksomhed i skyen til at behandle data. Tilsvarende er det en overladelse at anvende egen advokat eller en anden rådgiver.

Hvad er overførsel?

Lande udenfor EU/EØS-området kaldes tredjelande. Når personoplysninger forlader EU/EØS-området, er der tale om en overførsel til tredjelande. En overførsel kræver særskilt hjemmel. Man taler derfor om dobbelthjemmel, fordi der både skal findes hjemmel for behandling og for overførsel. Overførsel kan ske under anvendelse af Kommissionens standardkontrakter, bindende virksomhedsregler, til USA via Privacy Shield eller til at sikre tredjelande, som er godkendt af Kommissionen.

Hvad er følsomme personoplysninger?

Personfølsomme oplysninger dækker data om race, etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning. Det gælder ligeledes fagforeningsmæssigt tilhørsforhold, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. Behandling af genetiske og biometriske data med det formål entydigt at identificere en fysisk person er også i denne kategori.

Personoplysninger vedrørende straffedomme og lovovertrædelser

Personoplysninger vedrørende straffedomme og lovovertrædelser.

Almindelige personoplysninger

De personoplysninger, som ikke falder i kategorierne ’følsomme personoplysninger’ eller ’personoplysninger vedrørende straffedomme og lovovertrædelser’ og ’oplysninger om CPR-nummer’ er almindelige oplysninger.