Guide til beskyttelse af persondata

De nye regler om databeskyttelse gælder fra 25. maj 2018 i Danmark og resten af EU. Regelsættet består af:

  • Databeskyttelsesforordningen (vedtaget af Europa-Parlamentet og Rådet)
  • Den danske databeskyttelseslov

Forordning og dansk lovgivning

Databeskyttelsesforordningen er en EU-lov, der gælder direkte i Danmark. Den giver dog medlemslandene mulighed for at fastsætte supplerende regler.

I Danmark sker det gennem databeskyttelsesloven, som fungerer som en gennemførelseslov. Loven henviser primært til forordningens bestemmelser, men indeholder også enkelte regler, der er særligt tilpasset danske forhold.

Derfor vil der i praksis blive henvist både til forordningen og til databeskyttelsesloven, afhængigt af hvilket regelsæt der er relevant.

Hvad betyder det for dig?

De nye regler minder i høj grad om den tidligere persondatalov. Hvis du allerede har fulgt denne, er du godt på vej.

Men der er også nye pligter, bl.a.:

  • Krav om at dokumentere, at reglerne overholdes
  • Krav om at føre en fortegnelse over behandlingen af personoplysninger

Det er derfor vigtigt, at du sætter dig ind i de nye krav.

Særligt opmærksomhedspunkter

  • Nedenfor finder du et uddrag af de regler, du skal være særligt opmærksom på.
  • Vurderingen af, om betingelserne for at behandle personoplysninger er opfyldt, afhænger ofte af en konkret vurdering i den enkelte sag.
  • Hvis du er i tvivl, kan du søge vejledning hos Datatilsynet.

Hvornår gælder databeskyttelsesloven og forordningen?

Databeskyttelsesloven og forordningen finder anvendelse, når du behandler personoplysninger helt eller delvist elektronisk. Du behandler oplysninger, når du fx indsamler, opbevarer, videresender eller registrerer dem.

Loven og forordningen finder også anvendelse på behandling af personoplysninger, der er eller vil blive indsat i et register, uanset om behandlingen ikke er elektronisk. Et register er enhver samling af personoplysninger, der er struktureret efter bestemte kriterier, fx et manuelt register over personaleoplysninger eller kundeoplysninger.

Databeskyttelsesloven og forordningen gælder for alle, medmindre behandlingen foretages af en fysisk person som led i rent personlige eller familiemæssige aktiviteter.

Hvis du behandler personoplysninger udelukkende i journalistisk øjemed, vil alt dit journalistiske arbejde (fx research, interview, kildebeskyttelse, skrivearbejdet) typisk ikke være omfattet af databeskyttelsesloven og ej heller alle bestemmelser i databeskyttelsesforordningen.

Det betyder, at du som dataansvarlig kun skal overholde databeskyttelsesforordningens regler om datasikkerhed, da følgende regler i forordningen kun finder anvendelse:

  • Databehandlerens ansvar og kravene til en databehandler, jf. artikel 28
  • Datasikkerhed, idet du som dataansvarlig eller databehandler skal sikre et tilstrækkeligt sikkerhedsniveau, eller i givet fald iværksætte de nødvendige tiltag for at sikkerhedsniveauet er tilstrækkeligt, jf. artikel 32, 1. og 2. pkt.
  • Straf og sanktioner

I forhold til det journalistiske arbejde, skal du derfor ikke overholde:

  • De grundlæggende krav til behandling af personoplysninger (fx behandlingen skal være rimelig og nødvendig, have et formål, oplysninger må ikke opbevares i længere tid end nødvendigt)
  • At en behandling skal være lovlig, herunder samtykkereglerne (mange behandlinger kræver, at personen har givet samtykke til, at behandlingen kan finde sted til et bestemt formål)
  • Den dataansvarliges oplysningsforpligtelse over for personen (ved indsamling af oplysninger skal personen oplyses om visse bestemte forhold)
  • Pligten til at føre fortegnelse (de nye regler betyder, at du skal føre en fortegnelse over, hvilke oplysninger du behandler, samt hvordan du behandler de pågældende oplysninger)

Begrebet ”journalistisk øjemed” skal fortolkes bredt. Der er tale om en konkret vurdering. Der er ikke truffet specielt mange afgørelser om afgrænsningen af begrebet, og det er derfor noget usikkert, hvad der er omfattet.

Der er formentlig ikke tvivl om, at medier, som er underlagt medieansvarsloven og de presseetiske regler og dermed også Pressenævnets kompetence, er omfattet. Det gælder fx dag- og ugeblade, magasiner samt radio- og tv-foretagender.

Medieansvarsloven gælder for følgende massemedier:

  • Indenlandske periodiske skrifter (skal udkomme mindst to gange årligt), herunder billeder og lignende fremstillinger, der trykkes eller på anden måde mangfoldiggøres
  • Lyd- og billedprogrammer, der spredes af DR, TV 2/DANMARK A/S, de regionale TV 2-virksomheder og foretagender, der har tilladelse til eller er registrerede til at udøve radio- eller fjernsynsvirksomhed
  • Tekster, billeder og lydprogrammer, der periodisk udbredes til offentligheden, såfremt de har karakter af en nyhedsformidling, som kan ligestilles med den formidling, der er omfattet af nr. 1 eller 2

Netmedier og hjemmesider, som selv har tilmeldt sig Pressenævnets kompetence, er også underlagt medieansvarsloven, såfremt tilmeldingen har været korrekt. Du bør være opmærksom på, at alle kan tilmelde sig nævnets kompetence, selv om den pågældende reelt ikke er omfattet af kompetencen. Der kan derfor være konkrete tilfælde, hvor tilmeldingen ikke er korrekt, og at mediet derfor ikke er underlagt medieansvarsloven samt Pressenævnet kompetence. Det kan eventuelt føre til, at forholdet ikke er omfattet af ”journalistisk øjemed”, og at behandlingen derfor skal leve op til forordningens regler. Men som nævnt er begrebet ikke klart afgrænset, hvorfor det ville skulle afgøres i det konkrete tilfælde.

Det er kun personoplysninger, der udelukkende sker i journalistisk øjemed, der er undtaget. Det vil sige, at behandlingen kun må ske til det formål. Hvis du behandler andre personoplysninger, fx om kunder eller ansatte, er de omfattet af loven.

Ovenstående gælder også for behandling af personoplysninger som udelukkende sker med henblik på kunstnerisk og litterær virksomhed. Der vil også her være tale om en konkret vurdering, når det skal afgøres, om en behandling sker med henblik på kunstnerisk og litterær virksomhed. På dette område er antallet af afgørelser også sparsomt, hvorfor det er usikkert, hvad der er omfattet af begreberne.

Det er DJ’s opfattelse, at nedenstående eksempler som udgangspunkt bør være omfattet af journalistisk øjemed, kunstnerisk eller litterær virksomhed og dermed være undtaget størstedelen af bestemmelserne i forordningen:

Journalistisk øjemed:

  • Behandlinger der foretages af en professionel journalist inden for medieansvarslovens anvendelsesområde, fx research, interview, kilder og selve skrivearbejdet. Det kan være til dag- og ugeblade eller til private og offentlige virksomheders magasiner.
  • Behandlinger der foretages af en pressefotograf, herunder fotograferingen, billedbehandling, videregivelse, opbevaring. Det kan være til dag- og ugeblade eller til private og offentlige virksomheders magasiner.
  • Behandlinger i forbindelse med produktion af en dokumentarfilm/video med journalistisk indhold, fx research, interview, optagelse, klipning, videregivelse og opbevaring

Kunstnerisk virksomhed:

  • Portrætbilleder foretaget af en professionel fotograf, herunder selve fotograferingen, billedbehandling, opbevaring mv.

Litterær virksomhed:

  • Fotografering af personer til indholdet af en bog, herunder fotograferingen, billedbehandling, videregivelse, opbevaring
  • Udarbejdelse af en bog, herunder research, interview, skrivearbejdet, opbevaring, videregivelse

Databeskyttelsesloven og databeskyttelsesforordningen finder ikke anvendelse, hvis det vil være i strid med ytrings- eller informationsfriheden.

Ifølge Datatilsynets vurdering vil det bero på en konkret afvejning af på den ene side hensynet til beskyttelsen af privatlivet, og på den anden side hensynet til informations- og ytringsfriheden, når det skal afgøres, om behandlingen af personoplysningen er omfattet af loven og forordningen, da databeskyttelsesreglerne ikke unødigt skal medføre indskrænkninger i de pågældende rettigheder.

Databeskyttelsesloven og databeskyttelsesforordningen finder ikke anvendelse på behandlinger, der er omfattet af lov om massemediers informationsdatabaser, fx databaser tilhørende dag- og ugeblade, magasiner samt radio- og tv-foretagender.

Databeskyttelsesloven og databeskyttelsesforordningen gælder for behandling af oplysninger om afdøde personer i 10 år efter vedkommendes død.

Personoplysning

En personoplysning omfatter en enhver form for information om en identificeret eller identificerbar fysisk person.

Der er tale om en meget bred definition. Det er tilstrækkeligt, at én enkelt person kan identificere den pågældende ud fra personoplysningen. Pseudonymiserede oplysninger er også omfattet.

Der sondres mellem:

  • Almindelige oplysninger (fx navn, adresse, telefonnummer, e-mailadresse, IP-adresse, billede, almindelige interesser, brugernavn, kontonummer, sygedage)
  • Følsomme oplysninger (fx race, etnisk oprindelse, politisk eller religiøs overbevisning, fagforeningsmæssigt tilhørsforhold og helbredsoplysninger)
  • CPR-numre
  • Oplysninger om strafbare forhold

En behandling omfatter enhver form for håndtering af personoplysninger. Det er først og fremmest elektronisk behandling af oplysninger, der er omfattet af reglerne. Det kan fx være:

  • Indsamling
  • Registrering, fx i et elektronisk sagssystem
  • Offentliggørelse på en hjemmeside
  • Ændring
  • Systematisering
  • Opbevaring, fx på en server
  • Søgning
  • Brug
  • Videregivelse
  • Sletning

Dataansvarlig og databehandler

Du er en dataansvarlig, hvis det er dig, der bestemmer, til hvilket formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger. Det afgørende er, hvem der bestemmer, hvilke personoplysninger, der skal behandles og hvordan.

Det er vigtigt, at du er opmærksom på, at du som dataansvarlig har ansvaret for, at personoplysningerne behandles i overensstemmelse med databeskyttelsesforordningen.

Du vil ikke være dataansvarlig i alle tilfælde, uanset om det er dig, der fx har bestilt leveringen af en ydelse, hvis du ikke bestemmer formålet, og hvordan personoplysningerne skal behandles.

Du er fx dataansvarlig, når du behandler personoplysninger om dine kunder eller ansatte.

Eksempler, hvor du er dataansvarlig:

  • Du behandler personoplysninger om dine kunder
  • Du behandler personoplysninger om dine ansatte
  • Som fotograf vil du ofte være dataansvarlig i forhold til de billeder, som du har liggende i dit arkiv, da du opbevarer billederne, og hvis det fx er dig, der bestemmer, hvornår du vil slette billederne mv. (husk at behandlinger udelukkende i journalistisk øjemed, kunstnerisk eller litterær virksomhed vil være undtaget størstedelen af reglerne i forordningen)

Som datasvarlig har du blandt andet ansvaret for:

  • At en behandling er lovlig
  • At de grundlæggende krav til behandling af personoplysninger opfyldes, og du skal sikre dig dokumentation for opfyldelsen
  • At du har fået samtykke fra personen, hvis behandlingen er baseret på et samtykke
  • At du har opfyldt din oplysningsforpligtelse over for personen ved indsamling af oplysninger
  • At du sikrer dig et tilstrækkeligt sikkerhedsniveau, eller i givet fald iværksætter de fornødne tekniske og organisatoriske foranstaltninger til at sikre at sikkerhedsniveauet er tilstrækkeligt
  • At føre fortegnelser over dine behandlinger af oplysninger

Du er en databehandler, hvis du kun behandler personoplysninger på vegne af en dataansvarlig. Det vil sige, at du behandler personoplysningerne efter instruks fra den dataansvarlige.

I modsætning til den dataansvarlige bestemmer du som databehandler ikke hvordan og til hvilke formål, personoplysningerne må behandles. Som databehandler må du derfor aldrig behandle personoplysningerne til egne formål, og du må ikke bruge personoplysningerne fra den dataansvarlige på anden måde end til at udføre opgaven for den dataansvarlige.

Hvis du er en databehandler, skal det være ”behandlingen af personoplysningerne”, der er genstand for aftalen med den dataansvarlige. Hvis aftalen derimod går ud på levering af et produkt, hvor der til opgaven følger personoplysninger, gør det dig ikke automatisk til en databehandler.

Som databehandler skal du blandt andet opfylde følgende krav:

  • Du må kun behandle oplysninger efter instruks fra den dataansvarlige og inden for instruksen
  • Der skal foreligge en databehandleraftale
  • En instruks må ikke være i strid med forordningens krav
  • Du skal føre en fortegnelse over dine behandlinger af oplysninger
  • Du skal have passende tekniske og organisatoriske sikkerhedsforanstaltninger
  • Pligt til at underrette den dataansvarlige hvis der er sikkerhedsbrud
  • Sikre grundlag for overførsler til tredjelande

Lovlig behandling af personoplysninger

Når du behandler personoplysninger, skal du sikre dig, at du har ret til at behandle dem. Almindelige oplysninger kan blandt andet behandles i følgende tilfælde (listen er ikke udtømmende):

Du har ret til at behandle almindelige oplysninger, hvis personen har givet samtykke til behandlingen til et eller flere specifikke formål.

Et samtykke skal være frivilligt, specifikt, informeret og utvetydigt.

Hvis du skal indhente et samtykke, bør du gøre det skriftligt, og du bør på en klar og tydelig måde informere personen om, hvad vedkommende giver samtykke til. Du skal som minimum oplyse om:

  • Hvem, der er dataansvarlig
  • Formålet med behandlingen
  • Hvilke personoplysninger, det drejer det sig om
  • Hvilke behandlinger, der vil blive foretaget
  • At samtykket kan tilbagekaldes

Du bør være opmærksom på følgende:

  • Samtykket skal være givet inden behandlingen
  • Samtykket kan være mundtligt, skriftligt eller digitalt, og det skal indhentes i en lettilgængelig form og i et klart og enkelt sprog. En samtykkeblanket skal derfor også være klart adskilt fra andre forhold, fx salgsvilkår samt køb- og salgsbetingelser
  • Et samtykke kan ikke gives ved passivitet. Et stiltiende samtykke eller allerede afkrydsede felter med samtykke accepteres derfor ikke
  • Hvis du er dataansvarlig, skal du kunne bevise, at personen har givet samtykke til behandlingen, og hvad samtykket omfatter. Derfor anbefales et skriftligt samtykke
  • Et samtykke skal være frivilligt, og et nægtet samtykke må derfor ikke have negative konsekvenser for personen, fx ved at et nægtet samtykke påfører personen meromkostninger, eller at køb af en vare gøres betinget af et samtykke, men hvor samtykket gives til en behandling, som ikke er nødvendig for købet af selve varen
  • Et samtykke skal være givet til et eller flere specifikke angivne formål. Samtykket skal altså være konkretiseret. Hvis oplysningerne skal behandles til flere formål, skal du som dataansvarlig indhente særskilt samtykke for hvert enkelt formål. Det kan fx ske ved at personen kan markere, hvilke formål personen vil acceptere
  • Et samtykke er kun givet til det eller de pågældende formål. Hvis oplysninger skal bruges til andre formål, skal der indhentes nyt samtykke
  • Der er ikke specifikke regler om indhentelse af samtykke fra børn og unge. Ved behandling af oplysninger om et barn, bør forældrene give samtykke. Ved behandling af oplysninger om en ung, afhænger det af situationen og den unges modenhed, om vedkommende selv kan give samtykket. I forhold til børns samtykke til informationssamfundstjenester rettet direkte til børn, skal barnet være mindst 13 år for at samtykket er lovligt
  • Et samtykke kan altid tilbagekaldes, og personen skal oplyses om retten hertil. Hvis et samtykke trækkes tilbage, har det ikke betydning for behandlinger, som allerede er sket

Eksempler på, hvordan samtykke kan gives:

  • Ved udfyldelse af en blanket, fx ved deltagelse i en konkurrence, ved tilmelding til et nyhedsbrev, oprettelse af kundeprofil
  • Hvis samtykket skal indhentes af brugere af en hjemmeside, kan det fx ske ved, at brugeren skal foretage en aktiv handling. Det kan fx være ved udfyldelse af en elektronisk blanket, sætte kryds i felter på en hjemmeside og derefter trykke ”send” eller ”accepter”. Datatilsynet anbefaler, at der er en særlig funktion, der sikrer, at personen giver et gyldigt samtykke, fx at der kommer en kort tekst, som personen skal klikke ja til at have læst og accepteret for få videre adgang

Hvis samtykket skal bruges til at indsamle oplysninger om brugere på en hjemmeside og deres brug af services eller interesser, kan det ske på ovenstående beskrevne måde. Derudover skal personen oplyses om, at du indsamler oplysninger om brugen, analyserer den og eventuelt målretter og optimerer indhold mod personen.

Du har ret til at behandle almindelige personoplysninger i forbindelse med et ansættelsesforhold, hvis behandlingen er nødvendig for, at personen eller du som dataansvarlig overholder sine arbejdsretlige forpligtelser i anden lovgivning eller overenskomst.

Du har også ret til at behandle de pågældende oplysninger, hvis behandlingen er nødvendig, for at du som dataansvarlig eller tredjemand kan forfølge en berettiget interesse, der følger af kollektiv overenskomst eller anden lovgivning. Dog må personens interesser eller grundlæggende rettigheder ikke overstige eller gå forud for din interesse, da behandlinger i sådanne tilfælde kun kan finde sted, hvis der foreligger et samtykke fra personen. Se i øvrigt mere nedenfor under ”berettiget interesse”.

Du har ret til at behandle almindelige oplysninger, hvis behandlingen er nødvendig for at kunne opfylde en aftale, som personen er part i. I sådanne tilfælde er det altså ikke nødvendigt at indhente et samtykke fra personen.

Som eksempel kan nævnes:

  • Som arbejdsgiver har du fx ret til at behandle oplysninger til brug for lønkørsel for at sikre dig, at ansættelsesaftalen bliver overholdt
  • Du har ret til at indsamle og opbevare oplysninger som navn, adresse og e-mailadresse om en person, der ønsker at tilmelde sig dit nyhedsbrev

Du har ret til at behandle almindelige oplysninger, hvis behandlingen er nødvendig for at overholde en retlig forpligtelse, der påhviler dig som dataansvarlig, fx indberetning til SKAT.

Du har ret til at behandle almindelige oplysninger, hvis behandlingen er nødvendig for, at du kan forfølge en berettiget interesse. Dog må personens interesser eller grundlæggende rettigheder ikke overstige eller gå forud for din interesse, da behandlinger i sådanne tilfælde kun kan finde sted, hvis der foreligger et samtykke fra personen. Der er således tale om en afvejningsregel mellem hensynet til personens ret til beskyttelse af oplysninger og din interesse i at behandle dem.

Du skal være opmærksom på, at

  • Behandlingen skal tjene et sagligt og nødvendigt formål
  • Behandlingen må ikke være for byrdefuld for personen
  • Du er nødt til at foretage en afvejning af jeres interesser

Hvis du er i tvivl om, hvorvidt du har en berettiget interesse, der kan begrunde behandlingen, anbefales det, at du forud for behandlingen indhenter samtykke fra personen.

Som dataansvarlig har du pligt til at oplyse personen om, hvilken eller hvilke berettigede interesser du forfølger.

Fra Datatilsynets praksis kan nævnes, at Tivoli ikke fik medhold i, at Tivoli kunne tage billeder af årskortholdere og opbevare dem i en database med det formål at identificere årskortholderen for at undgå snyd, da Tivolis interesse blev overgået af årskortholderens interesse i at kende til behandlingen. Der skulle derfor indhentes samtykke.

En forbruger skal give sit udtrykkelige samtykke, hvis:

  • En virksomhed vil videregive oplysninger om forbrugeren til en anden virksomhed til brug ved direkte markedsføring. Det er selve videregivelsen, der kræver et samtykke
  • En virksomhed vil anvende oplysninger om forbrugeren til direkte markedsføring. Det er selve anvendelsen, der kræver et samtykke

Samtykket skal indhentes efter reglerne i markedsføringslovens § 10.

Hvis der er tale om generelle kundeoplysninger, der er inddelt i kundekategorier, er et samtykke ikke påkrævet, hvis behandlingen kan ske efter reglerne om berettiget interesse. Se mere herom ovenfor.

Det er ikke tilladt at videregive eller anvende følsomme oplysninger eller oplysninger om strafbare forhold.

Hvis du udbyder informationssamfundstjenester (tjenester, der sker digitalt) til børn, kan barnet selv give samtykke til behandling af almindelige personoplysninger, hvis barnet er mindst 13 år. Hvis barnet er under 13 år, skal forældrene give samtykke.

Følsomme oplysninger

Følsomme oplysninger og CPR-numre kan blandt andet behandles i følgende tilfælde (listen er ikke udtømmende):

Når det drejer sig om følsomme oplysninger, skal du være opmærksom på, at du skal have personens udtrykkelige samtykke til et eller flere specifikke formål for at have ret til at behandle oplysningerne. I øvrigt gælder reglerne beskrevet ovenfor under ”Personen har givet samtykke”

Du har ret til at behandle følsomme personoplysninger i forbindelse med et ansættelsesforhold, hvis behandlingen er nødvendig for, at personen eller du som dataansvarlig overholder de arbejdsretlige forpligtelser i anden lovgivning eller overenskomst.

Du har også ret til at behandle de pågældende oplysninger, hvis behandlingen er nødvendig for, at du som dataansvarlig eller tredjemand kan forfølge en berettiget interesse, der følger af kollektiv overenskomst eller anden lovgivning. Dog må personens interesser eller grundlæggende rettigheder ikke overstige eller gå forud for din interesse, da behandlinger i sådanne tilfælde kun kan finde sted, hvis der foreligger et samtykke fra personen. Se i øvrigt mere ovenfor under ”berettiget interesse”.

Følsomme oplysninger kan endvidere behandles hvis:

  • Det sker for at varetage en forenings behandling af medlemsoplysninger
  • Oplysningerne tydeligvis er offentliggjort af personen selv
  • Behandlingen er nødvendig af hensyn til væsentlige samfundsinteresser
  • Behandlingen er nødvendig af hensyn til arkivformål i samfundets interesser

CPR-numre kan behandles af private hvis:

  • Det følger af lovgivning
  • Personen har givet samtykke
  • Behandlingen sker alene til videnskabelig eller statistiske formål
  • En af grundene nævnt direkte ovenfor under ”Øvrige lovlige grunde til behandling” er opfyldt

Grundlæggende krav til behandling af personoplysninger

Når du som dataansvarlig behandler personoplysninger, skal du altid opfylde seks grundlæggende krav til behandlingen. Kravene er en videreførelse er de hidtil gældende regler. Som dataansvarlig har du ansvaret for, at kravene er opfyldt, og som noget nyt skal du også bevise, at kravene er opfyldt.

Det vil sige, at personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til personen.

Der skal altid være et klart og sagligt formål med behandlingen.

Du må ikke indsamle oplysninger, hvis du ikke aktuelt har noget at bruge dem til, og du blot tænker, at der senere kan vise sig et formål, hvortil oplysningerne kunne være brugbare.

Et sagligt formål kan fx være registrering af kontaktoplysninger, så du kan komme i kontakt med en kunde, fordi du skal sende en faktura eller et nyhedsbrev til vedkommende.

Du må ikke behandle flere oplysninger, end hvad der er nødvendigt i forhold til formålet med behandlingen. Du må altså behandle de oplysninger, som er nødvendige for, at din virksomhed kan fungere, men ikke flere. 

Du må fx behandle oplysninger som navn, adresse og e-mailadresse til dit kundekartotek, men det vil fx ikke være nødvendigt at behandle oplysninger som cpr-nummer eller billeder af vedkommende i et kundekartotek.

Du har pligt til at sørge for, at personoplysningerne altid er korrekte. Du skal derfor løbende ajourføre eller slette dem, hvis oplysningerne er urigtige.

Du skal sørge for, at oplysningerne ikke opbevares i længere tid end strengt nødvendigt. Der bør enten være en tidsgrænse eller kriterier for, hvornår oplysningerne skal slettes. Reglen er ikke ensbetydende med, at oplysningerne skal slettes på et bestemt tidspunkt, men blot at de ikke skal opbevares, hvis det ikke længere er relevant. Du kan derfor opbevare oplysninger, så længe der er et sagligt formål med opbevaringen.

Du skal sikre dig, at oplysningerne behandles med den tilstrækkelige sikkerhed og beskyttes mod ulovlig behandling, tilintetgørelse eller beskadigelse.

Din oplysningspligt som dataansvarlig

Hvis der indsamles oplysninger fra personen selv, skal du som dataansvarlig sørge for, at personen som minimum får oplysning om nedenstående forhold, med mindre personen allerede er bekendt med oplysningerne. Oplysningerne skal gives senest ved indsamlingen: 

  • Hvem, der er den dataansvarlige
  • Den dataansvarliges kontaktoplysninger som navn, adresse og e-mailadresse
  • Kontaktoplysninger for en eventuel databeskyttelsesansvarlig
  • Formålet med og grundlaget for behandlingen, fx om det er til markedsføring, kundeforhold, salg til tredjemand
  • Hvis behandlingen sker på baggrund af din berettigede interesse (beskrevet ovenfor), skal du oplyse om dine saglige interesser
  • Hvis oplysningerne skal videregives, skal du oplyse herom, samt hvem oplysningerne gives til
  • Hvis oplysningerne overføres ud af EU, skal du oplyse herom samt henvise til information om beskyttelsesniveauet det pågældende sted

Du skal yderligere oplyse om nedenstående, hvis det er nødvendigt for at sikre en rimelig og gennemsigtig behandling.

  • Hvornår oplysningerne slettes. Det kan enten være et tidspunkt eller efter bestemte kriterier, der anvendes til at fastlægge tidsrummet
  • Personens ret til:
    • indsigt i sine oplysninger
    • at få rettet eller slettet urigtige oplysninger
    • gøre indsigelse
    • dataportabilitet
    • at tilbagekalde sit samtykke
  • Personens ret til at klage til Datatilsynet
  • Om personen er forpligtet til at give oplysningerne fx i henhold til lov eller kontrakt og konsekvenserne af ikke at give oplysningerne
  • Om der vil ske automatisk behandling af oplysningerne, fx profilering, og i givet fald om logikken heri, betydningen heraf samt konsekvenserne for en sådan behandling

Du skal være opmærksom på, at hvis du vil viderebehandle på personoplysninger til andet formål, end hvad oplysningerne er indsamlet til, skal du oplyse personen om det nye formål og andre nye oplysninger i forhold til ovenstående liste.

Hent Datatilsynets skabelon til iagttagelse af oplysningspligten som word-fil

Hvis personoplysningerne ikke indsamles hos personen selv, skal du som dataansvarlig sørge for, at personen som minimum får oplysning om nedenstående forhold, med mindre personen allerede er bekendt med oplysningerne.

  • Hvem, der er den dataansvarlige
  • Den dataansvarliges kontaktoplysninger som navn, adresse og e-mailadresse
  • Kontaktoplysninger for en eventuel databeskyttelsesansvarlig
  • Formålet med og grundlaget for behandlingen
  • De pågældende kategorier af oplysninger
  • Hvis oplysningerne skal videregives, skal du oplyse herom samt hvem oplysningerne gives til
  • Hvis oplysningerne overføres ud af EU, skal du oplyse herom samt henvise til information om beskyttelsesniveauet det pågældende sted

Du skal yderligere oplyse om nedenstående, hvis det er nødvendigt for at sikre en rimelig og gennemsigtig behandling.

  • Hvornår oplysningerne slettes. Det kan enten være et tidspunkt eller efter bestemte kriterier, der anvendes til at fastlægge tidsrummet
  • Hvis behandlingen sker på baggrund af din berettigede interesse (beskrevet ovenfor), skal du oplyse om dine saglige interesser
  • Personens ret til:
    • indsigt i sine oplysninger
    • at få rettet eller slettet urigtige oplysninger
    • gøre indsigelse
    • dataportabilitet
    • at tilbagekalde sit samtykke
  • Personens ret til at klage til Datatilsynet
  • Hvor oplysningerne er indsamlet fra, og hvis muligt om oplysninger er offentligt tilgængelige
  • Om der vil ske automatisk behandling af oplysningerne, fx profilering, og i givet fald om logikken heri, betydningen heraf samt konsekvenserne for en sådan behandling

Oplysningerne skal gives:

  • Inden for en rimelig frist eller senest inden for en måned efter indsamlingen
  • Ved første kommunikation med personen, hvis oplysningerne skal bruges til at kommunikere med personen
  • Senest ved videregivelse til anden modtager, hvis oplysningerne skal videregives

Du er ikke forpligtet til at oplyse om ovenstående, hvis:

  • Formålet med behandlingen forspildes, eller meddelelse af sådanne oplysninger viser sig umulig eller vil kræve en uforholdsmæssig stor indsats
  • Indsamlingen følger af lov
  • Oplysningerne er undergivet tavshedspligt

Hent Datatilsynets skabelon til iagttagelse af oplysningspligten som word-fil

Du har pligt til at føre fortegnelse

Du har som dataansvarlig eller databehandler pligt til at føre interne fortegnelser over dine behandlinger af personoplysninger. Der gælder forskellige krav til indholdet af en fortegnelse for henholdsvis dataansvarlige og databehandlere.

Virksomheder og organisationer, der beskæftiger under 250 personer, kan som udgangspunkt undtages fra fortegnelseskravet, med mindre:

  • Behandlingen vil sandsynligt medføre en risiko for personens rettigheder eller frihedsrettigheder
  • Behandlingen er lejlighedsvis (opkrævning af kontingent en gang årligt er fx lejlighedsvis)
  • Behandlingen omfatter følsomme personoplysninger eller oplysninger om straffedomme eller lovovertrædelser

Der er altså meget snævre grænser for undtagelsesbestemmelsen.

Fortegnelsen skal omfatte alle behandlingsaktiviteter og gælder for alle fire kategorier af oplysninger.

Overordnet set skal fortegnelsen indeholde oplysninger om, hvilke personoplysninger, du behandler, samt hvordan du behandler de pågældende oplysninger.

Fortegnelseskravet har til formål at sikre, at du får dannet det påkrævede overblik over dine behandlinger af personoplysninger. Fortegnelsen er derfor en del af din dokumentation af, at du overholder lovens og forordningens regler.

Husk at det er dig, der skal kunne forklare og bevise, hvad du gør og hvorfor i forhold til dine behandlinger.

Fortegnelsen skal foreligge skriftligt og elektronisk. Der stilles ikke yderligere krav. Du kan derfor føre fortegnelsen i fx et almindeligt tekstbehandlingsdokument.

En fortegnelse skal som minimum indeholde følgende oplysninger:

  • Den dataansvarliges navn og kontaktoplysninger
  • Samtlige formål med behandlingerne. Det er muligt at samle flere behandlinger under et delformål, hvis behandlinger kan indeholdes i ét samlet, logisk og sammenhængende formål. Fx kan ansattes løn, ferie og barsel samles under personaleadministration
  • Kategorier af registrerede personer, fx kunder, forretningsforbindelse, medlemmer, ansatte
  • Kategorier af personoplysninger der behandles. Du skal som minimum oplyse, om du behandler almindelige, følsomme eller oplysninger om strafbare forhold eller lovovertrædelser. Hvis du behandler følsomme oplysninger, skal du specifisere hvilke. Derudover kan du vælge, om du vil specificere oplysningerne yderligere, fx ved at angive, om det er kontaktoplysninger, oplysninger om ferie og løn, kundeoplysninger, billeder mv.
  • Kategorier af modtagere som oplysningerne er eller vil blive videregivet til. Det gælder også for modtagere i tredjelande og internationale organisationer
  • Hvis det er relevant, oplysninger om overførsel til tredjeland eller international organisation samt dokumentation for passende garantier, når overførslen er foretaget efter forordningens artikel 49, stk. 1, andet afsnit
  • Du skal hvis det er muligt oplyse om de forventede frister for sletning af de forskellige kategorier af oplysninger
  • Du skal, hvis det er muligt, give en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger

En fortegnelse skal som minimum indeholde følgende oplysninger:

  • Databehandlerens navn og kontaktoplysninger
  • Samtlige kategorier af behandlinger, du foretager for den dataansvarlige
  • Hvis det er relevant, oplysninger om overførsel til tredjeland eller international organisation samt dokumentation for passende garantier, når overførslen er foretaget efter forordningens artikel 49, stk. 1, andet afsnit
  • Du skal, hvis det er muligt, give en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger

Sikkerhed og overførsel til tredjelande

Som dataansvarlig eller databehandler skal du sikre dig et tilstrækkeligt sikkerhedsniveau, eller i givet fald iværksætte de fornødne tekniske og organisatoriske foranstaltninger til at sikre at sikkerhedsniveauet er tilstrækkeligt.

Når det skal sikres, at sikkerhedsniveauet er tilstrækkeligt, skal det ske under hensyn til art, omfang, kontekst og formålet med behandlingen samt risikoen for krænkelser af personens rettigheder.

Der er ved at blive udarbejdet en vejledning om sikkerhed fra Datatilsynet, som der her vil blive linket til, når den er klar.

Tredjelande er lande uden for EU/EØS og lande, der ikke af Kommissionen anses som ”sikre tredjelande”.

Overførsel til tredjelande er som udgangspunkt forbudt, medmindre der er tale om et sikkert tredjeland eller at det usikre tredjeland, der har givet de fornødne garantier. Derudover kan overførsel ske i helt særlige undtagelsestilfælde, jf. forordningens artikel 49.

Bøde og erstatning

Der kan idømmes en bøde på op til EUR 10 millioner eller for virksomheder 2 % af den globale årlige omsætning, hvis dette beløb er højere, ved overtrædelse af fx:

  • Databehandleraftale
  • Dokumentation
  • Sikkerhed

Der kan idømmes en bøde på op til EUR 20 millioner eller for virksomheder 4 % af den globale årlige omsætning, hvis dette beløb er højere, ved overtrædelse af fx:

  • De grundlæggende behandlingskrav og behandlingsreglerne
  • Personens rettigheder
  • Overførsel til tredjelande
  • Manglende overholdelse af påbud

Enhver som har lidt materiel eller immateriel skade som følge af en overtrædelse af loven eller forordningen har ret til erstatning for den pågældende skade.

På denne side