Alt du skal vide om GDPR
Denne artikel omhandler alt, du skal vide om GDPR for at kunne varetage compliance-opgaver for din virksomhed.
Artiklen er for dig, der er intern GDPR ansvarlig og har ansvaret for, at din organisation er compliant og efterlever persondataforordringen, der trådte i kraft i 2018.
Ønsket med denne artikel er at give dig et samlet overblik over de begreber og lovkrav, du skal kende til samt tilsikre, at din organisation efterlever.
Baggrunden for GDPR
Selvom det kan virke sådan, så er GDPR ikke sat i verden for at øge mængden af papirarbejde og regler, der skal overholdes.
I takt med udbredelsen af internettet er deling af data i tjenester og platforme steget eksponentielt. Dette har skabt et behov for at opsætte et regelsæt for, hvilke persondata man må opbevare, og hvordan disse skal opbevares.
I takt med udbredelse af sociale medier har der igennem tiden været flere sager om misbrug af persondata, hvor specielt Cambridge analytica sagen i 2018 har været med til at øge fokus på, hvordan man må behandle persondata.
Databeskyttelesforordningen opsummeret
GDPR (General Data Protection Regulation), også kendt som databeskyttelsesforordningen eller persondataforordningen, er en EU-forordning, som trådte i kraft den 25. maj 2018.
Forordningens formål er at fremme beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger i EU.
Ifølge databeskyttelsesforordningen skal alle europæiske organisationer - både private og offentlige - først og fremmest kunne dokumentere, at persondata bliver behandlet i overensstemmelse med reglerne på området.
Udover GDPR reguleres reglerne om databeskyttelse også af den danske databeskyttelseslov, der gennemfører og supplerer GDPR.
Du kan læse hele forordningen i fuld længde, eller få hovedpunkterne forklaret ved at læse videre i denne artikel.
Proces for GDPR implementering
Personoplysninger
Hvornår må man behandle personoplysninger?
Når du behandler personoplysninger, er der 7 grundlæggende principper, du altid skal overholde som dataansvarlig. Alle GDPR-krav er baseret på disse principper, hvorfor det er vigtigt at have indsigt i disse. Du skal være opmærksom på, at iagttagelse af disse principper ikke udgør en behandlingshjemmel for din organisations behandlingsaktiviteter. Hjemlen finder du i forordningens øvrige hjemmelsbestemmelser.
De 7 grundlæggende GDPR-principper (artikel 5):
- Lovlighed, rimelighed og gennemsigtighed.
- Formålsbegrænsning.
- Dataminimering.
- Rigtighed.
- Opbevaringsbegrænsning.
- Integritet og fortrolighed.
- Ansvarlighed.
1. Lovlighed, rimelighed og gennemsigtighed
Behandlingen af personoplysninger skal være lovlig. Din organisation skal derfor have hjemmel (et gyldigt behandlingsgrundlag) i national lov eller EU-lovgivning til at behandle persondata. Et eksempel kan være, at den registrerede har givet samtykke til behandlingen af personoplysninger efter artikel 6(1)(a) eller artikel 9(2)(a). Derudover indeholder lovlighedsprincippet også et krav om, at formålet med behandlingen skal være lovligt.
Rimelighed betyder, at den registreredes oplysninger skal behandles på rimelig vis. Det er derfor ikke nok, at behandlingen er lovlig, den skal også være rimelig overfor de registrerede. Rimelighed handler om at varetage beskyttelsesinteressen. Dette er et udtryk for den ulovbestemte gode databehandlerskik (eks. er det kun rimeligt at overvåge organisationens computere, hvis de ansatte er informeret herom).
Gennemsigtighed betyder, at din organisation tydeligt kommunikerer hvad, hvordan og hvorfor, I behandler den registreredes personoplysninger. Den registrerede skal på en transparent og gennemskuelig måde gøres bekendt med risici, rettigheder, regler og garantier ved behandlingen. Det er vigtigt, at der kommunikeres i et simpelt og letforståeligt sprog.
2. Formålsbegrænsning
Når personoplysninger indsamles, skal den dataansvarlige beskrive, hvilke formål oplysningerne indsamles til. Oplysningerne må kun behandles til det angivne formål. Det betyder, at du ikke må viderebehandle personoplysningerne til andre formål end det oprindelige formål, som du brugte til at indsamle oplysningerne med. Formålet med behandlingen skal fastlægges forud for behandlingsaktivitetens påbegyndelse. Formålet skal desuden være sagligt, hvilket betyder, at formålet skal være lovligt og inden for din organisations saglige område. Ved vurderingen af om en eventuel videregivelse af personoplysninger kan rummes i det oprindelige formål, kan 'ikke uforenlighedstesten' efter artikel 6(4) o.e. DBL § 5, stk. 2 foretages.
3. Dataminimering
De indsamlede personoplysninger skal være tilstrækkelige, relevante og begrænsede til formålet med behandlingen. Det er derfor vigtigt, at du ikke har flere oplysninger end nødvendigt for at indfri dit formål.
4. Datakvalitet/rigtighed
Det er vigtigt at sikre, at de personoplysninger, der behandles, er korrekte. Oplysningerne skal om nødvendigt ajourføres, og ukorrekte data skal straks opdateres eller slettes.
5. Opbevaringsbegrænsning
Personoplysninger skal slettes eller anonymiseres, når det ikke længere er nødvendigt at opbevare disse. Bliver oplysningerne stadig brugt til det oprindelige formål, er det ikke nødvendigt at slette dem.
6. Integritet og fortrolighed
Personoplysninger skal beskyttes mod uautoriseret eller ulovlig behandling. Det skal samtidig sikres, at oplysninger ikke går tabt eller bliver beskadiget. For at sikre dette skal din organisation have implementeret passende organisatoriske og tekniske foranstaltninger.
7. Ansvarlighed
Den dataansvarlige er ansvarlig for at ovenstående GDPR-principper overholdes. Det er desuden vigtigt, at du kan påvise, at din organisation efterlever principperne. Det er dog ikke angivet i forordningen, hvordan du skal dokumentere, at I efterlever disse. Dog findes der i forordningen nogle formkrav til visse dokumentationer, f.eks. i artikel 28(9) hvoraf det fremgår, at databehandleraftaler skal være skriftlige og elektroniske. Det samme krav gør sig gældende for fortegnelser efter artikel 30.
Hvad er personoplysninger?
En personoplysning er enhver form for information, der kan føres tilbage til en bestemt person.
Eksempelvis er følgende oplysninger identificerbare:
- Personnumre.
- Fingeraftryk.
- Lokaliseringsdata.
- Betalingsoplysninger.
- Lægejournaler.
Når det i praksis er muligt at identificere en person ud fra oplysningerne eller i kombination med andre oplysninger, kan oplysningen karakteriseres som “personhenførbar”.
Der skelnes mellem tre kategorier af personoplysninger i persondataforordningen:
- Almindelige personoplysninger (ikke-følsomme oplysninger).
- Særlige kategorier af personoplysninger (følsomme oplysninger).
- Straffedomme og lovovertrædelser.
Almindelige personoplysninger (ikke-følsomme oplysninger)
Almindelige personoplysninger er alle oplysninger, der ikke er klassificeret som følsomme personoplysninger. Det kan for eksempel være:
- Identifikationsoplysninger som navn, adresse, alder og uddannelse.
- Økonomiske forhold.
- Familieforhold.
- Bolig.
- Sociale problemer.
- Ansøgning og CV.
Særlige kategorier af personoplysninger (følsomme oplysninger)
De særlige kategorier af personoplysninger er udtrykkeligt afgrænset i databeskyttelsesforordningen, og det er oplysninger om:
- Race og etnisk oprindelse.
- Politisk overbevisning.
- Religiøs eller filosofisk overbevisning.
- Fagforeningsmæssige tilhørsforhold.
- Genetiske data.
- Biometriske data med henblik på entydig identifikation.
- Helbredsoplysninger.
- Seksuelle forhold eller seksuel orientering.
Kun de oplysninger, som er nævnt ovenfor, er særlige kategorier af personoplysninger.
Straffedomme og lovovertrædelser
Oplysninger om strafbare forhold er særskilt reguleret i databeskyttelsesloven. Det kan eksempelvis være en oplysning om, at en person har begået en bestemt lovovertrædelse.
GDPR-forordningen henviser til, at man skal finde hjemmel for behandlingen af disse oplysninger i national lovgivning som f.eks. den danske databeskyttelseslov.
Nationalt identifikationsnummer
- CPR nr.
GDPR-forordningen henviser til, at man skal finde hjemmel for behandlingen af disse oplysninger i national lovgivning som f.eks. den danske databeskyttelseslov.

Behandlingsaktiviteter
Hvad er en behandlingsaktivitet?
En behandlingsaktivitet kan oversættes til en arbejdsproces, hvori du håndterer personoplysninger. Det er primært elektronisk behandling af oplysninger, der er omfattet af reglerne. Eksempler kan være indsamling, registrering, systematisering, opbevaring, søgning, brug, videregivelse eller sletning af personoplysninger.Eksempler på interne behandlingsaktiviteter:
- Lønudbetaling.
- Rekruttering og ansøgninger.
- HR-administration.
Eksempler på eksterne behandlingsaktiviteter:
- Udsendelse af nyhedsbreve.
- Kunde-administration.
- Cookie samtykke.
Der kan både være tale om behandling af almindelige og følsomme personoplysninger samt interne oplysninger på medarbejdere og eksterne oplysninger på eksempelvis kunder og leverandører.
Dokumentation af behandlingsaktiviteter
Et af de vigtigste krav i persondataforordningen er, at hvis jeres virksomhed behandler persondata, skal I dokumentere jeres behandlingsaktiviteter. En behandlingsaktivitet kan ses som en "arbejdsproces hvori der behandles persondata".
Dokumentationen af jeres behandlingsaktiviteter har bl.a. til formål at leve op til "Principper for behandling af persondata", "Føre en fortegnelse over behandlingsaktiviteter" og "Risikovurdere behandlinger". Behandlingsaktiviteterne kan derfor anses som fundamentet for jeres videre arbejde med GDPR.
Registrering af behandlingsaktiviteter
Registrering af behandlingsaktivitet kan ske i et statisk dokument, eller i en cloud baseret platform, hvor der er mulighed for at arbejde dynamisk med de indtastede informationer.

Dataansvarlig og databehandler
Hvad er en dataansvarlig?
Forordningen definerer en dataansvarlig som: “En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.” Den dataansvarlige afgør således hvorfor (med hvilket formål) og hvordan (med hvilke hjælpemidler) personoplysningerne behandles. Det er samtidig den dataansvarliges ansvar, at der er hjemmel til behandlingen, og at den registreredes rettigheder iagttages og overholdes.
Hvad er en databehandler?
Forordningen definerer en databehandler som: “En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne.” Databehandleren behandler altså personoplysninger efter instruks fra den dataansvarlige, og databehandleren handler under den dataansvarliges ansvar. Handler databehandleren uden for instruks (og dermed uden for databehandleraftalen) bliver denne selvstændigt dataansvarlig. Dette betyder dog ikke, at den oprindeligt dataansvarlige ikke kan drages til ansvar over for den registrerede. Det er den dataansvarliges ansvar, at kontrollere databehandleren (og den dataansvarliges ansvar hvad databehandleren foretager sig).
Databehandleren er ansvarlig for at efterleve databehandleraftalen med den dataansvarlige.
Hvad er en underdatabehandler?
Databehandleren har mulighed for at videregive en eller flere opgaver til en underdatabehandler (underleverandør). Underdatabehandleren har som minimum de samme forpligtigelser som databehandleren.
Databehandleren må kun gøre brug af en underdatabehandler, såfremt den dataansvarlige har givet skriftlig godkendelse til dette. Derudover er det vigtigt at understrege, at underdatabehandleren handler på vegne af den dataansvarlige og ikke på vegne af databehandleren. Det betyder, at databehandleren ikke bliver dataansvarlig for underdatabehandleren. Dog er databehandleren ansvarlig for de databeskyttelsesretlige forpligtelser underdatabehandleren har. Såfremt underdatabehandleren ikke lever op til disse forpligtelser, er det databehandlerens ansvar at opfylde disse forpligtelser over for den dataansvarlige.
Det er vigtigt, at ansvaret er klart fordelt i databehandleraftalen.
Hvad er en databehandleraftale?
Det er et lovkrav, at du som dataansvarlig indgår en databehandleraftale med alle dine databehandlere. Databehandleraftalen beskriver, hvordan databehandleren må behandle persondata på vegne af den dataansvarlige, således det sikres, at data bliver behandlet korrekt og sikkert. Aftalen er et retligt bindende dokument, der skal foreligge skriftligt herunder elektronisk. Aftalen skal leve op til nogle minimumskrav, for at den anses som værende gyldig.
Minimumskrav til databehandleraftalen
- Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige.
- Databehandleren skal sikre, at de personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
- Databehandleren iværksætter tekniske og organisatoriske foranstaltninger til at sikre et sikkerhedsniveau, der passer til den dataansvarliges risikovurdering.
- Databehandleren opfylder betingelserne ifm. brug af underdatabehandlere.
- Databehandleren bistår så vidt muligt den dataansvarlige med at besvare anmodninger fra den registrerede om f.eks. indsigt, sletning eller berigtigelse.
- Databehandleren bistår den dataansvarlige med at sikre behandlingssikkerhed, at underrette tilsynsmyndigheden/den registrerede om brud på persondatasikkerheden samt at udarbejde konsekvensanalyser.
- Databehandleren sletter eller tilbageleverer personoplysningerne til den dataansvarlige efter den dataansvarliges valg.
- Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelse af kravet om databehandleraftale til rådighed for den dataansvarlige og underretter den dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med forordningen.
Datatilsynet yder vejledning om, hvordan du kan udforme en databehandleraftale. Du kan eksempelvis benytte Datatilsynets skabelon til at udarbejde din virksomheds databehandleraftale og se i databeskyttelsesforordningens artikel 28(3) for nærmere uddybning.
Tilsyn af databehandlere
Ifølge forordningen skal du som dataansvarlig føre tilsyn med, at databehandleren efterlever databehandleraftalen. Det er således ikke tilstrækkeligt blot at have indgået en databehandleraftale. Du kan læse mere om tilsyn af databehandlere her.

Fortegnelse
Derfor skal du have en fortegnelse
Et af de vigtigste krav i persondataforordningen er, at alle dataansvarlige og databehandlere skal føre interne fortegnelser over behandlingsaktiviteter (arbejdsproces hvori der behandles personoplysninger). Fortegnelsen sikrer, at dataansvarlige og -behandlere har dannet sig det påkrævede overblik, og dermed efterlever forordningens regler. Du skal til enhver tid kunne fremvise fortegnelsen over dine behandlingsaktiviteter til Datatilsynet efter anmodning. Fortegnelser skal foreligge skriftligt og elektronisk, og der stilles ikke nogen krav til formatet heraf.
Hvilke oplysninger skal en artikel 30 fortegnelse indeholde?
Artikel 30 fortegnelsen er delt op i 30.1 og 30.2, der hhv. der omhandler oplysninger for dataansvarlige og databehandlere.
Fortegnelse for dataansvarlige (30.1 fortegnelse)
Alle virksomheder der behandler persondata skal lave en artikel 30.1 fortegnelse. Her er du dataansvarlig, hvilket betyder, at du har ansvar for den data, der behandles. Du skal derfor udarbejde en artikel 30.1 fortegnelse over dine behandlingsaktiviteter hvis du f.eks. behandler data på medarbejdere i forbindelse med lønudbetaling. Fortegnelsen skal indeholde:
- Navn og kontaktoplysninger for den dataansvarlige.
- Formålene med behandlingen.
- Kategorier af registrerede og kategorier af personoplysninger.
- Kategorier af modtagere ved videregivelse.
- Overførsler til tredjelande og internationale organisationer.
- Slettefrister for de forskellige kategorier af oplysninger.
- Beskrivelse af tekniske og organisatoriske foranstaltninger hvis muligt.
Fortegnelse for databehandlere (30.2 fortegnelse)
Det er ikke alle virksomheder, der skal lave en artikel 30.2 fortegnelse. Denne skal kun udarbejdes af virksomheder, der agerer i rollen databehandler. At være databehandler betyder, at du ikke er ansvarlig for den persondata der behandles, men du behandler den på vegne af en anden dataansvarlig virksomhed.
Eksempler på typiske databehandler virksomheder kan være en it-leverandør eller et marketingbureau, der behandler data på vegne af deres kunder.
*Databehandlere registreres også på en 30.1 fortegnelse, og denne skal alle dataansvarlige virksomheder udarbejde. Her registreres de databehandlere som I benytter, hvor der på en 30.2 registreres de virksomheder, der bruger jer som databehandler.
- Navn og kontaktoplysninger for databehandleren (dig som leverandør) og den dataansvarlige (kunden) på hvis vegne databehandleren handler.
- Kategorier af behandlinger der foretages på vegne af den dataansvarlige.
- Overførsler til et tredjeland eller en international organisation
- Beskrivelse af tekniske og organisatoriske foranstaltninger hvis muligt
Hvornår skal du have en fortegnelse?
Stort set alle virksomheder og organisationer skal føre en fortegnelse over deres behandlingsaktiviteter.
Har du brug for hjælp til at udarbejde din fortegnelse?
Læs hvordan Privacy platformen kan hjælpe dig med at holde din fortegnelse opdateret.

Tilsyn med databehandlere
Hvordan fører jeg tilsyn med mine databehandlere?
Det er ikke tilstrækkeligt at indgå en databehandleraftale med dine databehandlere, som dataansvarlig virksomhed eller myndighed er I også forpligtet til løbende at føre tilsyn med, at databehandlerne efterlever databehandleraftalen. Dette tilsyn skal I til enhver tid kunne dokumentere overfor Datatilsynet.
Sådan foretager du et tilsyn med dine databehandlere
Datatilsynet opstiller en vejledende model, som du kan støtte dig til, når du skal vurdere, hvordan du vil føre tilsyn med dine databehandlere. Modellen består af en pointskala, som kan indikere, hvor risikofyldt behandlingen af personoplysninger er. Herudover er der seks tilsynskoncepter, som gradvist stiller større krav til tilsynet. Du kan fokusere på det/de tilsynskoncepter, der er relevante for dig, baseret på hvor mange point du har fået i pointskalaen.

Pointskala
Praktisk anvendelse af pointskalaen
Antallet af point i pointskalaen afhænger af fire parametre, defineret af datatilsynet:
- Hvor mange personer din databehandler behandler oplysninger om.
- Hvorvidt din databehandler behandler særlige kategorier af personoplysninger (følsomme oplysninger) på dine vegne.
- Om din databehandler behandler andre personoplysninger af beskyttelsesværdig karakter på dine vegne.
- Om selve behandlingen af oplysninger går tæt på de involveredes privatliv.

Koncept 1
Du skal ikke gøre noget, medmindre du bliver opmærksom på, at der er noget galt hos databehandleren.
Koncept 2
Databehandleren bekræfter – helst skriftligt – over for dig, at alle krav i databehandleraftalen stadig efterleves.
Koncept 3
Databehandleren giver dig årligt – enten direkte eller via sin hjemmeside – en skriftlig status på forhold, der er omfattet af databehandleraftalen og andre relevante områder (f.eks. organisatoriske eller produktmæssige ændringer).
Koncept 4
Databehandleren har en relevant og opdateret certificering eller følger et såkaldt adfærdskodeks, som er relevant for dine behandlingsaktiviteter.
Koncept 5
En uafhængig tredjepart har ført et dokumenteret tilsyn med databehandleren på et område, som også dækker dine behandlingsaktiviteter.
Koncept 6
Du fører selv – eller sammen med andre – et dokumenteret tilsyn med databehandleren.
Metoder til løbende tilsyn af databehandlere
Der er flere måder, hvorpå du kan føre tilsyn med dine databehandlere, alt efter hvem og hvordan du ønsker processen.
Hvem skal udføre tilsynet?
Du kan vælge at varetage opgaven selv eller outsource til en ekstern partner.
Hvordan skal tilsynet dokumenteres og styres?
Du kan udføre tilsynet i et statisk dokument, eller du kan benytte en platform til formålet.
DPA service
.legal tilbyder at udføre opgaven med at føre tilsyn med jeres databehandlere efter Datatilsynets vejledning. Vi driver processen og foretager løbende opfølgning af databehandlerne, så I ikke selv skal varetage denne tunge og tidskrævende opgave. Vores service dækker over alle tilsynskoncepter, og risikoklassificeringen kan laves direkte i systemet.
Læs mere om vores Data Processor Audit Service her.


.jpg)

.jpeg)


.jpg)
.jpg)

.jpeg)



.jpg)



.jpeg)






Info
.legal A/S
hello@dotlegal.com
+45 3211 6660
CVR: 40888888
EAN: 5797200038685
Support
support@dotlegal.dk
+45 7027 0127
Brug for hjælp?
Lad mig hjælpe jer i gang

.legal er ikke en advokatvirksomhed og er derfor ikke under tilsyn af Advokatrådet.