Adfærdskodeks
En adfærdskodeks er en frivillig aftale mellem to eller flere parter, hvorved man forpligter sig til at følge bestemte retningslinjer eller standarder for behandling af persondata. Disse aftaler kan være særligt relevante i brancher, hvor der behandles store mængder persondata.
Læs mere om adfærdskodeks her
Adgang
Adgang er en af de grundlæggende rettigheder i henhold til GDPR, som giver de registrerede personer ret til at få indsigt i de persondata, der behandles om dem, samt at modtage en kopi af disse data. Adgangsretten gælder også for oplysninger om formålet med behandlingen, hvem der har modtaget persondata, og hvilke tekniske og organisatoriske sikkerhedsforanstaltninger der er truffet for at beskytte dataene.
Læs mere om adgang her
Almindelige personoplysninger
Almindelige personoplysninger omfatter oplysninger, der ikke anses for at være følsomme eller fortrolige, men som stadig er beskyttet af GDPR. Typiske eksempler på almindelige personoplysninger omfatter navn, adresse og e-mailadresse.
Læs mere om almindelige personoplysninger her
Anmeldelse
En anmeldelse er en meddelelse, som den dataansvarlige skal give til Datatilsynet eller den relevante tilsynsmyndighed, hvis der opstår et databrud. Denne anmeldelse skal gives så hurtigt som muligt og senest inden for 72 timer efter, at databruddet er blevet opdaget.
Læs mere om anmeldelse her
Anonymisering
Anonymisering er en teknik, der anvendes til at sikre, at det er umuligt at identificere en person ud fra de personoplysninger, der behandles. Dette kan f.eks. opnås ved at sløre eller fjerne navne, adresser eller andre følsomme oplysninger, således at personoplysningerne ikke længere kan henføres til en bestemt person.
Læs mere om anonymisering her
Ansvarlighed
Ansvarlighed er et af de grundlæggende principper i GDPR, hvilket indebærer, at den dataansvarlige har ansvaret for at sikre, at persondata behandles i overensstemmelse med reglerne i GDPR. Dette inkluderer at have styr på, hvilke oplysninger der indsamles, hvordan de anvendes, og hvem de deles med. På denne måde skal den dataansvarlige sikre, at passende tekniske og organisatoriske foranstaltninger træffes for at beskytte persondata mod ulovlig eller uautoriseret adgang, ændring, videregivelse eller ødelæggelse.
Læs mere om ansvarlighed her
Begrænsning af behandling
Begrænsning af behandling er en teknik, der anvendes til at begrænse brugen af persondata til bestemte formål. Dette kan være relevant, hvis der er tvivl om korrektheden af de persondata, der behandles, eller hvis der er behov for at sikre, at persondata ikke slettes, mens de stadig er nødvendige af saglige årsager.
Dette indebærer typisk, at den dataansvarlige midlertidigt begrænser adgangen til eller anvendelsen af persondata, indtil det kan fastslås, om persondata er korrekte eller nødvendige til en saglig årsag. På denne måde kan den dataansvarlige sikre, at persondata behandles i overensstemmelse med GDPR og at der træffes passende foranstaltninger for at beskytte den registreredes rettigheder og interesser.
Læs mere om begrænsning af behandling her
Behandlingsaktivitet
En behandlingsaktivitet er enhver aktivitet, der involverer behandling af persondata. Dette kan omfatte en bred vifte af aktiviteter, såsom indsamling, opbevaring, videregivelse, sletning eller anden form for behandling af persondata.
Da GDPR gælder for alle typer behandlingsaktiviteter, er det vigtigt for den dataansvarlige at identificere og dokumentere alle behandlingsaktiviteter, der involverer persondata. På denne måde kan den dataansvarlige sikre, at persondata behandles i overensstemmelse med GDPR og at de relevante databeskyttelsesforanstaltninger er på plads for at beskytte den registreredes rettigheder og interesser.
Læs mere om behandlingsaktiviteter her
Behandlingsgrundlag (hjemmel)
Et behandlingsgrundlag er en juridisk grundlag, der berettiger behandlingen af persondata. I henhold til GDPR skal der altid være et gyldigt behandlingsgrundlag for at kunne behandle persondata. Behandlingsgrundlaget skal være en af de specifikke juridiske grunde, der er fastsat i GDPR.
Behandlingsgrundlaget kan være baseret på forskellige faktorer såsom samtykke fra den registrerede, nødvendigheden af at behandle data i forbindelse med opfyldelse af en kontrakt eller juridisk forpligtelse, legitime interesser eller beskyttelse af vitale interesser for den registrerede eller andre personer.
Det er vigtigt for den dataansvarlige at identificere og dokumentere det korrekte behandlingsgrundlag for enhver behandling af persondata, da dette vil have indflydelse på den måde, som persondata kan behandles på. Ved at have det korrekte behandlingsgrundlag på plads, kan den dataansvarlige sikre, at behandlingen af persondata er i overensstemmelse med GDPR og beskytter de registreredes rettigheder og interesser.
Læs mere om behandlingsgrundlag her
Behandlingsprincipper
Behandlingsprincipperne er en række grundlæggende regler, som skal følges ved behandling af persondata ifølge GDPR. Disse principper omfatter, at persondata skal behandles lovligt, transparent og retfærdigt, og at der kun må indsamles og behandles persondata til bestemte, klare og legitime formål. Derudover skal de indsamlede persondata være relevante, nødvendige og begrænsede til det formål, de er indsamlet til, og de skal være nøjagtige og opdaterede. Endelig skal persondata beskyttes mod uautoriseret adgang, tab, ødelæggelse eller skade.
Læs mere om behandlingsprincipper her
Berigtigelse
Retten til berigtigelse indebærer, at en registreret har ret til at få urigtige (forkerte) personoplysninger om sig selv rettet.
Læs mere om retten til berigtigelse her
Beskyttelse af personoplysninger
GDPR's primære formål er at beskytte personoplysninger mod ulovlig eller uautoriseret indsamling, behandling og videregivelse. Dette kræver implementering af passende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre, at persondata ikke misbruges eller ender i de forkerte hænder. Det er vigtigt at overholde disse sikkerhedsforanstaltninger for at beskytte den registreredes rettigheder og personlige oplysninger i overensstemmelse med GDPR.
Læs mere om beskyttelse af personoplysninger her
Bindende virksomhedsregler (BCR)
Bindende virksomhedsregler (BCR) er et sæt af interne regler, der fastlægger rammerne for behandling af persondata inden for en virksomhed eller organisation. BCR er især relevante for virksomheder, der opererer internationalt og behandler persondata på tværs af forskellige lande og jurisdiktioner. Disse regler skal godkendes af den relevante tilsynsmyndighed og kan være et værdifuldt værktøj til at sikre, at persondata behandles i overensstemmelse med GDPR-reglerne på tværs af hele organisationen.
Læs mere om bindende virksomhedsregler her
Bøder
Bøder refererer til de økonomiske sanktioner, som Datatilsynet eller den relevante tilsynsmyndighed kan pålægge en virksomhed eller organisation, hvis der er konstateret brud på GDPR-reglerne. Bøderne kan være betydelige og kan variere afhængigt af alvoren af overtrædelsen. Typiske årsager til pålæggelse af bøder inkluderer ulovlig indsamling, behandling eller videregivelse af personoplysninger, manglende overholdelse af betingelserne for samtykke eller manglende implementering af passende tekniske og organisatoriske foranstaltninger til beskyttelse af personoplysninger. Det er vigtigt at bemærke, at bøderne ikke kun kan pålægges for overtrædelser begået efter ikrafttrædelsen af GDPR, men også for tidligere overtrædelser, der fortsat påvirker de berørte personer.
Læs mere om bøder her
Brugervilkår
Brugervilkår henviser til en juridisk aftale eller en kontrakt mellem en virksomhed eller en tjenesteudbyder og brugerne af deres tjeneste eller platform. Disse vilkår fastlægger de betingelser, regler og rettigheder, der gælder for brugernes adgang til og brug af tjenesten eller platformen.
Inden for GDPR-konteksten er det vigtigt, at brugervilkårerne omfatter relevante bestemmelser og oplysninger om behandlingen af personoplysninger. Dette kan omfatte beskrivelser af, hvilke typer af personoplysninger, der indsamles og behandles, formålene med behandlingen, opbevaringsperioden for oplysningerne, rettighederne for de registrerede osv.
Brugervilkårerne skal være klare, gennemsigtige og let forståelige for brugerne. Det er vigtigt at informere brugerne om deres rettigheder og give klare instruktioner om, hvordan de kan udøve disse rettigheder, f.eks. retten til indsigt, retten til sletning, retten til at trække samtykke tilbage osv.
Certificeringer
Certificeringer er en måde at dokumentere, at en virksomhed eller organisation opfylder visse standarder eller krav inden for databeskyttelse. Der er forskellige typer af certificeringer, såsom ISO 27001, som specifikt dækker informationssikkerhed. At opnå en certificering kan give tillid og tryghed til kunder og andre interessenter, da det viser, at virksomheden har taget skridt til at beskytte persondata og følger anerkendte standarder og bedste praksis inden for databeskyttelse.
Cloud
Cloud computing henviser til internetbaserede tjenester, hvor programmer, data og tjenester er tilgængelige via en internetforbindelse. Cloudløsninger kan være nyttige for opbevaring og behandling af persondata, men det er vigtigt at tage hensyn til de specifikke regler for behandling af persondata i skyen. Det er nødvendigt at sikre, at de anvendte cloudtjenester er i overensstemmelse med GDPR, og at de har passende tekniske og organisatoriske sikkerhedsforanstaltninger på plads for at beskytte persondata mod uautoriseret adgang eller brug.
Cookie
En cookie er en lille fil, som en hjemmeside kan gemme på besøgendes computer, når de besøger siden. Cookies bruges ofte til at gemme præferencer og til at indsamle data om trafikken på hjemmesiden, f.eks. hvilke sider besøgende ser mest. Derudover kan cookies også bruges til at vise målrettede annoncer til brugerne. GDPR har særlige regler for brugen af cookies, da de kan indeholde persondata om den besøgende. Det er derfor vigtigt at have et behandlingsgrundlag for at anvende cookies, og den besøgende skal informeres om brugen af cookies og have mulighed for at give samtykke.
Cookiepolitik
En cookiepolitik er en erklæring, der beskriver, hvordan en virksomhed eller organisation bruger cookies på deres hjemmeside. Det er vigtigt, at cookiepolitikken indeholder klare og præcise oplysninger om, hvilke typer cookies der anvendes, hvad de bruges til, og hvordan den registrerede kan give eller tilbagekalde samtykke til brugen af cookies. Ved at have en tydelig cookiepolitik kan virksomheder og organisationer skabe gennemsigtighed og tillid hos brugerne vedrørende behandlingen af persondata på deres hjemmeside.
Data Privacy Framework
Et Data Privacy Framework er en betegnelse, der anvendes til at beskrive en struktur eller et system, som en virksomhed eller organisation kan benytte til at sikre overholdelse af GDPR's regler for behandling af persondata. Frameworket kan bestå af en række interne retningslinjer, standarder og procedurer, som beskriver, hvordan persondata skal indsamles, behandles og opbevares. Det kan også inkludere tekniske værktøjer og løsninger, der hjælper med at overholde GDPR's krav. Formålet med et Data Privacy Framework er at sikre, at persondata behandles på en ansvarlig måde og i overensstemmelse med gældende lovkrav.
Dataansvarlig
En dataansvarlig er den fysiske eller juridiske person eller organisation, der har ansvaret for at sikre, at persondata behandles i overensstemmelse med GDPR. En dataansvarlig har bl.a. ansvaret for at udarbejde en fortegnelse over behandlingsaktiviteter, for at indhente samtykke fra den registrerede, hvis det er påkrævet, og for at underrette Datatilsynet eller den relevante tilsynsmyndighed om databrud.
Databehandler
En databehandler er den fysiske eller juridiske person eller organisation, der på vegne af en dataansvarlig behandler persondata. Databehandleren har ikke selv ansvaret for persondata, men skal følge de instruktioner og retningslinjer, der gives af dataansvarlig.
Databehandleraftale
En databehandleraftale er en form for aftale, der indgås mellem en dataansvarlig og en databehandler, når der skal behandles persondata på vegne af dataansvarlig. Aftalen skal bl.a. indeholde oplysninger om formålet med behandlingen, omfanget af behandlingen og databehandlerens forpligtelser i forhold til GDPR.
Databeskyttelsesforordningen
Databeskyttelsesforordningen, også kendt som GDPR, er en EU-forordning, der fastlægger rammerne for behandling af persondata i EU. Forordningen trådte i kraft den 25. maj 2018 og erstattede den tidligere persondataforordning (Direktiv 95/46/EF). GDPR gælder for alle virksomheder og organisationer, der behandler persondata om EU-borgere, uanset hvor virksomheden eller organisationen befinder sig i verden.
Databrud
Et databrud er en hændelse, hvor der er sket et ulovligt eller uautoriseret indgreb i persondata, som f.eks. hvis der er blevet hacket eller stjålet persondata. Et databrud kan få alvorlige konsekvenser for den registrerede, hvis deres persondata bliver misbrugt eller videregivet. Derfor skal databrud meldes til Datatilsynet eller den relevante supervisory authority, hvis det er sandsynligt, at det vil medføre en risiko for den registreredes rettigheder og frihedsrettigheder.
Dataminimering
Dataminimering er et princip i GDPR, der siger, at persondata kun skal indsamles og behandles, hvis det er nødvendigt for et konkret formål. Det betyder, at der skal træffes foranstaltninger for at sikre, at der ikke indsamles og opbevares mere persondata, end der er behov for. Dataminimering er et led i at sikre, at persondata ikke misbruges eller videregives til uvedkommende.
Deltager
En deltager er en person, der har deltaget i et arrangement eller en undersøgelse, hvor der er indsamlet persondata om dem. Deltageren har de samme rettigheder i forhold til persondata som den registrerede, og der skal f.eks. informeres om formålet med behandlingen og indhentes samtykke, hvis det er påkrævet.
Den registrerede
Den registrerede er den person, som persondata indsamles og behandles om. Den registrerede har en række rettigheder i forhold til persondata, herunder retten til at få adgang til de persondata, der behandles om dem, og retten til at gøre indsigelse mod behandlingen.
Læs mere om den registrerede her
Destruktion
Destruktion er en form for behandling af persondata, der indebærer, at data fysisk eller elektronisk slettes eller gøres ubrugelige. Destruktion kan f.eks. være relevant, når der ikke længere er behov for at opbevare persondata, eller når en databehandleraftale ophører. Det er vigtigt at sikre, at persondata bliver destrueret på en sikker og forsvarlig måde.
Det europæiske databeskyttelsesråd
Det europæiske databeskyttelsesråd (EDPB) er et EU-organ, der har til opgave at vejlede og rådgive EU-Kommissionen, medlemsstaterne, EU-domstolen og det Europæiske Økonomiske Samarbejdsråd om spørgsmål vedrørende behandling af persondata. EDPB består af repræsentanter for de nationale databeskyttelsesmyndigheder, der er ansvarlige for at håndhæve GDPR i hvert EU-land, samt en række uafhængige eksperter. EDPB har også ansvaret for at koordinere samarbejdet mellem de nationale myndigheder.
Det nationale råderum
Det nationale råderum er en betegnelse for den nationale lovgivning, der gælder for behandling af persondata i hvert EU-land. Det nationale råderum udgør en del af det fælles EU-lovgivningssystem, der er fastlagt i GDPR, og skal sikre ensartet beskyttelse af persondata i hele EU. Det nationale råderum kan f.eks. omfatte nationale regler om samtykke, databeskyttelsesrådgivere og bøder.
Direktiv
Et direktiv er en form for EU-lovgivning, der fastsætter rammerne for en given lovgivningsområde, men som efterlader det op til medlemsstaterne at udforme den nationale lovgivning på området. GDPR er et direktiv, der fastlægger rammerne for behandling af persondata i EU, men som efterlader det op til medlemsstaterne at udforme den nationale lovgivning på området.
Dokumentation er en samling af skriftlige beviser og oplysninger, der kan dokumentere, at der følges GDPR's regler for behandling af persondata. Dokumentationen kan f.eks. omfatte fortegnelser over behandlingsaktiviteter, samtykkeerklæringer, databehandleraftaler og andre relevante dokumenter. Dokumentationen skal være tilgængelig for Datatilsynet eller den relevante supervisory authority ved kontrol.
DPIA
DPIA står for Data Protection Impact Assessment, og er en form for analyse, der skal udføres, når en virksomhed eller organisation planlægger at igangsætte en behandlingsaktivitet, der kan medføre en høj risiko for den registreredes rettigheder og frihedsrettigheder. DPAI skal bl.a. indeholde en vurdering af behandlingens formål, omfang, konsekvenser og de tekniske og organisatoriske sikkerhedsforanstaltninger, der er truffet.
DPO
DPO står for Data Protection Officer, og er en person, der har ansvaret for at sikre, at en virksomhed eller organisation lever op til GDPR's regler for behandling af persondata. DPO har bl.a. ansvaret for at rådgive om databeskyttelse, for at følge op på eventuelle klager og for at rapportere til Datatilsynet eller den relevante supervisory authority ved behov.
Ekstern databehandler
En ekstern databehandler er en databehandler, der ikke er ansat i den samme virksomhed eller organisation som dataansvarlig. Det kan f.eks. være en it-leverandør, der bistår med opbevaring og behandling af persondata. Det er vigtigt at have en databehandleraftale med en ekstern databehandler, så der er klarhed over ansvarsforhold og forpligtelser.
Elektronisk samtykke
Elektronisk samtykke er en form for samtykke, der gives via elektroniske midler, f.eks. via internettet eller en app. For at et elektronisk samtykke skal være gyldigt i forhold til GDPR, skal det opfylde de samme krav som et skriftligt samtykke, herunder være udtrykkeligt, frivilligt og specifikt. Det skal desuden være muligt for den registrerede at trække samtykket tilbage på samme måde, som det blev givet.
Erklæring om beskyttelse af personoplysninger
En erklæring om beskyttelse af personoplysninger er en form for dokument, der angiver, hvordan en virksomhed eller organisation håndterer persondata. Erklæringen kan f.eks. indeholde oplysninger om formålet med behandlingen, hvilke persondata der indsamles og behandles, hvem der har adgang til persondata, og hvilke tekniske og organisatoriske sikkerhedsforanstaltninger der er truffet. Erklæringen skal være tilgængelig for den registrerede og eventuelt andre interessenter, f.eks. Datatilsynet eller den relevante supervisory authority.
Fælles dataansvar
Fælles dataansvar er en betegnelse for den situation, hvor der er to eller flere dataansvarlige, der samarbejder om at behandle persondata om den samme registrerede. Fælles dataansvar kan f.eks. opstå, hvis der er et samarbejde mellem to virksomheder, hvor den ene virksomhed indsamler persondata på vegne af den anden virksomhed. I sådanne situationer skal der tages særlige foranstaltninger for at sikre, at persondata behandles forsvarligt og i overensstemmelse med GDPR's krav.
Følsomme personoplysninger
Følsomme personoplysninger er en betegnelse for persondata, der kan afsløre en persons race, etnisk oprindelse, politiske overbevisninger, religiøse eller filosofiske overbevisninger, medlemskab af fagforeninger, helbredsoplysninger eller seksuelle forhold. Behandling af følsomme personoplysninger er kun tilladt, hvis der foreligger en særlig hjemmel i GDPR eller i den nationale lovgivning.
Formål
Formål er en betegnelse for det formål, som persondata indsamles og behandles for. Formålet skal være specifikt, klart og legitimeret, og det skal være muligt at dokumentere formålet. Formålet kan f.eks. være at opfylde en kontraktlig forpligtelse, at håndhæve lovgivning eller at markedsføre produkter og tjenester. Det er vigtigt, at formålet med behandlingen af persondata er gyldigt, da det påvirker valget af behandlingsgrundlag og de tekniske og organisatoriske sikkerhedsforanstaltninger, der skal træffes.
Forordning
Forordning er en betegnelse for en EU-lov, der gælder direkte i medlemsstaterne uden at skulle omsættes til national lovgivning. GDPR er en forordning, der fastlægger rammerne for behandling af persondata i EU.
Fortegnelse
Generelt har den dataansvarlige og databehandlere pligt til at udarbejde en fortegnelse over alle de aktiviteter i virksomheden, som indebærer behandling af persondata. En sådan fortegnelse giver overblikket over virksomhedens behandlingsaktiviteter og samtidig er den med til at danne grundlag for at kunne dokumentere virksomhedens behandlingsaktiviteter, når Datatilsynet melder sin ankomst. Artikel 30 i Forordningen angiver kravene til indholdet af denne fortegnelse for henholdsvis den dataansvarlige og databehandleren.
Fortrolige personoplysninger
Fortrolige personoplysninger er en betegnelse for særligt følsomme persondata, der kræver særlig beskyttelse. Fortrolige personoplysninger omfatter f.eks. oplysninger om helbred, etnisk oprindelse, politisk overbevisning og seksuel orientering. Behandling af fortrolige personoplysninger er kun tilladt, hvis der foreligger en særlig hjemmel i GDPR eller i den nationale lovgivning.
GDPR
General Data Protection Regulation (GDPR), Databeskyttelsesforordningen og Persondataforordningen er det samme og er en lovgivning indført af EU. Databeskyttelse blev særlig relevant d. 25. maj 2018, da virksomheder fra denne dato skulle efterleve GDPR. GDPR omhandler personoplysninger og hvordan de behandles af virksomheder. Lovgivningen er et forsøg på at følge med den digitale udvikling, hvor data registreres og anvendes overalt. Med GDPR har kunder, borgere o.a. nogle rettigheder, som virksomhederne skal efterleve. Loven skal sikre fysiske personer retten til og kontrollen over egne personlige oplysninger.
Gennemsigtighed
Gennemsigtighed gør det nemmere for enhver at gennemskue, hvorfor de afgiver deres personlige oplysninger. Der er krav om, at man ikke må kræve unødige oplysninger og dermed skal angive hvorfor og til hvilket formål, man indsamler de pågældende oplysninger. Den registrerede må ikke på noget tidspunkt være i tvivl om, at der behandles data om vedkommende. Samtidig skal det være let gennemskueligt for den registrerede, hvilke rettigheder, der tillægges personen i forbindelse med behandlingen.
Hjemmel
Hjemmel henviser til det juridiske grundlag eller den retlige begrundelse, der danner grundlag for databehandlingen af personoplysninger. Hjemmel er med til at afgøre, om behandlingen er lovlig og er vigtige, da de sikrer, at databehandlingen er i overensstemmelse med loven og beskytter den registrerede rettigheder.
GDPR fastsætter forskellige retlige hjemler, som en dataansvarlig eller databehandler skal have for at behandle personoplysninger. Disse omfatter blandt andet samtykke, kontraktuelle forpligtelser, lovmæssige forpligtelser mv. Det er vigtigt, at den dataansvarlige eller databehandleren kan identificere og dokumentere den specifikke hjemmel, der anvendes til hver behandlingsaktivitet.
Ikke-følsomme personoplysninger
Ikke-følsomme personoplysninger henviser til kategorien af oplysninger, der ikke betragtes som særligt følsomme eller fortrolige i forhold til den registrerede. Disse oplysninger er typisk generelle og almindelige og omfatter oplysninger, der kan identificere en bestemt person uden at afsløre følsomme eller fortrolige oplysninger.
Ikke-følsomme personoplysninger kan omfatte, men er ikke begrænset til: navn of efternavn, adresse, fødselsdato og alder, ansøgning og CV-oplysninger, billeder og fotografier, familierelationer, boligoplysninger, biler eller andre ejendele. Disse oplysninger er generelt mindre private og følsomme end visse kategorier af personoplysninger, såsom religiøse overbevisninger samt helbredsoplysninger.
Indsigelse
Indsigelse er en rettighed, der gives til den registrerede, og som giver den registrerede mulighed for at modsætte sig eller protestere mod behandlingen af deres personoplysninger under visse omstændigheder.
Indsigt
Retten til indsigt indebærer, at den registrerede har ret til at se de oplysninger, som bliver behandlet om den pågældende. Det vil normalt være oplysninger om den registrerede, som behandles på sager i it-systemer mv., men det kan også være tv-overvågningsbilleder, hvor den registrerede optræder eller oplysninger om den registreredes teletrafik mv.
Derudover indebærer retten til indsigt, at den registrerede har ret til at modtage en række oplysninger om den eller de behandlinger, der bliver foretaget.
Formålet med retten er at give den registrerede mulighed for at se, hvilke personoplysninger der bliver behandlet om den pågældende og dermed skabe mere gennemsigtighed omkring, hvordan disse bliver behandlet.
Den registrerede kan således på den baggrund kontrollere, at personoplysningerne er korrekte, samt at de bliver behandlet lovligt.
Informationssikkerhed
Informationssikkerhed handler om at sikre virksomhedens informationer. Information skal sikres, så de ikke kompromitteres. Ved at arbejde med at opretholde sine informationers fortrolighed, integritet og tilgængelighed, kan man undgå at informationen kompromitteres.
Konsekvensanalyse
Informationssikkerhed handler om at sikre virksomhedens informationer. Information skal sikres, så de ikke kompromitteres. Ved at arbejde med at opretholde sine informationers fortrolighed, integritet og tilgængelighed, kan man undgå at informationen kompromitteres.
Oplysningspligt
At have oplysningspligt over for en registreret indebærer, at man på eget initiativ har pligt til at give den registrerede en række oplysninger, når man indsamler personoplysninger om vedkommende. Indsamling af oplysninger om en registreret kan bl.a. ske ved hjælp af ansøgningsskemaer og blanketter, der udfyldes af den registrerede selv, men det kan også ske ved, at man - både efter anmodning og uanmodet - modtager oplysninger om en registreret fra både myndigheder og private.
Overførsel
Begrebet overførsel dækker både den situation, hvor en dataansvarlig i EU videregiver personoplysninger til en dataansvarlig uden for EU og den situation, hvor en dataansvarlig (eller en databehandler) i EU overlader en behandling af personoplysninger til en databehandler uden for EU.
En overførsel kan f.eks. bestå i en elektronisk transmission eller i en fremsendelse af en USB-nøgle, men en overførsel kan også bestå i, at personer i et tredjeland blot gives ""se-adgang"" til oplysninger, der befinder sig i EU.
Overførselsgrundlag
"Et overførselsgrundlag henviser til de juridiske og kontraktmæssige mekanismer, der skal etableres for at sikre, at der er passende sikkerhedsforanstaltninger på plads for at beskytte personoplysninger, når de overføres til et usikkert tredjeland. Overførselsgrundlaget er afgørende for at overholde kravene i GDPR og for at bevare den registreredes rettigheder og beskyttelse af personoplysninger.
For at etablere et overførselsgrundlag kan der anvendes forskellige metoder. Dette indebærer blandt andet at etablere passende garantier, som kan omfatte brug af standardkontraktbestemmelser, bindende virksomhedsregler, godkendte adfærdskodekser eller andre godkendte overførselsmekanismer, der er fastsat af databeskyttelsesmyndighederne."
Persondataloven
Persondataloven er en historisk og forældet lov om behandling af persondataoplysninger, som blev erstattet af databeskyttelsesforordningen (GDPR) i 2018. Persondataloven blev vedtaget i år 2000.
Personfølsomme oplysninger
Personoplysning
En personoplysning er enhver form for information, der kan henføres til en bestemt person, også selv om personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger.
Databeskyttelsesforordningen opdeler personoplysninger i tre typer:
- Personoplysninger (ikke-følsomme oplysninger)
- Særlige kategorier af personoplysninger (følsomme oplysninger)
- Oplysninger om straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger
Privacy by Default
Privacy by default betyder, at produkter allerede fra start er indstillet til at sikre den højeste persondatabeskyttelse. Samtidig er det nødvendigt at sikre sig, at personlig information om en bruger kun bliver opbevaret, så længe som det er nødvendigt for at levere et produkt eller en service.
Privacy by Design
Databeskyttelse gennem design indebærker, at den dataasvarlige allerede fra tidspunktet, hvor midlerne for behandlingen fastlægges, skal gennemføre passende tekniske og organisatoriske foranstaltninger, som er designet med henvlik på at sikre en effektiv implementering af de grundlæggende databeskyttelsesprincipper. Således påbydes virksomheder at indtænke persondatasikkerhed i designprocessen, når man udvikler nye digitale produkter.
Privatlivspolitik
En privatlivspolitik har til formål at oplyse den besøgende om, hvilke persondata hjemmesiden indsamler, hvordan, og hvem der behandler denne data. Den skal også oplyse med hvilket formål kunders og besøgendes persondata bliver behandlet, og hvordan disse data bliver opbevaret.
Pseudonymisering
Pseudonymisering er i databeskyttelsesforordningen defineret som behandling af personoplysninger på en sådan måde, at personoplysningerne ikke længere kan henføres til en bestemt registreret uden brug af supplerede oplysninger, forudsat at sådanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger for at sikre, at personoplysningerne ikke henføres til en identificeret eller identificerbar fysisk person.
Register
Et register henviser til en struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier og dermed er søgbare.
Et register kan være fysisk eller elektronisk og kan omfatte forskellige typer personoplysninger afhængigt af formålet og den pågældende organisations eller virksomheds aktiviteter.
Risikovurdering
Med en risikovurdering afdækkes risiciene for de personer, som en virksomhed behandler oplysninger omkring, så der kan indføres foranstaltninger til at begrænse disse risici.
Den samlede risici for den registrerede er kombinationen af sandsynligheden og konsekvensen. Det vil sige:
Risiko = sandsynlighed * konsekvens
Når sandsynligheden for, at en trussel finder sted, samt den eventuelle konsekvens heraf, er blevet vurderet, er der foretaget en risikovurdering for den pågældende behandling.
Samtykke
Samtykke er et udtryk for, at de registrerede gives et reelt valg og kontrol over, hvordan deres oplysninger bruges, og er efter forordningen et af flere behandlingsgrundlag, som den dataansvarlige kan anvende ved behandling af personoplysninger. Det er endvidere et krav, at den dataansvarlige kan påvise, at den registrerede har givet samtykke til behandlingen af sine personoplysninger. Det er med andre ord den dataansvarlige, som har bevisbyrden for, at den registrerede har givet det fornødne samtykke.
Sanktioner
Santkioner refererer til de retlige eller administrative foranstaltninger, der kan pålægges som følge af overtrædelse af databeskyttelsesforordningen. Disse sanktioner har til formål at sikre overholdelse af databeskyttelsesreglerne og at beskytte den registreredes rettigerheder og privatliv.
Sanktionerne kan variere afhængigt af alvorligheden og omfanget af overtrædelsen.
Sikkerhedsbrud
Et sikkerhedsbrud er enhver hændelse, der resulterer i uautoriseret adgang til computerdata, applikationer, netværk eller enheder. Det resulterer i adgang til oplysninger uden tilladelse. Typisk forekommer det, når en indtrængende er i stand til at omgå sikkerhedsmekanismer.
Sikkerhedsforanstaltninger
Databeskyttelsesforordningens artikel 32 fastlægger, at den dataansvarlige er forpligtet til at implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger til imødekommelse af de risici, deres behandling af persondata måtte indebære. Kravet om passende sikkerhedsforanstaltninger gælder både for elektronisk og fysisk behandling af persondata.
Sikkerhedspolitik
En sikkerhedspolitik er en dokumenteret erklæring eller retningslinke, der beskriver en organisations tilgang til at sikre fortrolighed, integritet og tilgængelighed af information og data. Sikkerhedspolitikken fastlægger de overordnede principper, mål og procedurer, der skal følges for at beskytte organisationens information og data mod uautoriseret adgang, uautoriseret ændring, lækage, tab eller skade.
Sikkert tredjeland
Betegnelse for tredjelande, som EU-Kommissionen har fast- slået har et tilstrækkeligt beskyttelsesniveau efter
databeskyttelsesforordningens art. 45. Har EU-Kommission truffet en såkaldt ""tilstrækkelighedsafgørelse"", kan oplysningerne, uden en specifik godkendelse, overføres til sådanne tredjelande.
Det er kun EU-Kommissionen, der kan fastslå, at et tredjeland, et område i et tredjeland, en sektor i et tredjeland eller en international organisation beliggende i et tredjeland er sikkert, og dermed har et beskyttelsesniveau, som i det væsentlige svarer til det beskyttelsesniveau, der gælder i EU.
Sletning
Sletning henviser til en rettighed, der gives til den registrerede. Retten til sletning giver den registrerede mulighed for at kræve, at personoplysninger om dem slettes, med visse undtagelser og betingelser.
Når en registreret udøver retten til sletning, indebærer det, at dataansvarlige eller databehandlere, der er ansvarlige for behandlingen af personoplysninger, skal slette de pågældende oplysninger om den registrerede. Denne sletning skal udføres på en sådan måde, at oplysningerne ikke længere er tilgængelige eller kan genskabes. Det betyder, at oplysningerne skal fjernes fra alle systemer, databaser, backupfiler og eventuelle andre steder, hvor de er gemt
Standard Contractual Clauses (SCC)
Standard Contractual Clauses (SCC), eller på dansk standardkontraktbestemmelser, refererer til en kontrakt bestående af standardbestemmelser mellem en dataeksportør i EU/EØS og en dataimportør uden for EU/EØS. Formålet med disse standardkontraktbestemmelser er at sikre, at dataimportøren behandler de overførte oplysninger i overensstemmelse med det beskyttelsesniveau, der findes inden for EU/EØS.
Standardbestemmelser
Standardbestemmelser henviser til standardiserede kontraktbestemmelser, der er fastlagt af EU Kommissionen og anvendes som et overførselsgrundlag for at sikre passende beskyttelse af personoplysninger ved overførsel til tredjelande uden for EØS. De omfatter typisk en række standardiserede bestemmelser, der tager højde for forskellige aspekter af databeskyttelse, såsom formålet med behandlingen, typer af personoplysninger, rettigheder for de registrerede, sikkerhedsforanstaltninger og mekanismer for overvågning og håndhævelse.
Tilsynsmyndighed
En tilsynsmyndighed henviser til en national offentlig myndighed, der har ansvaret for at føre tilsyn med og håndhæve databeskyttelsesreglerne i et specifikt land. Tilsynsmyndigheden spiller en vigtig rolle i at sikre beskyttelse af personoplysninger og overholdelse af databeskyttelseslovgivningen.
I Danmark varetages funktionen som tilsynsmyndighed af Datatilsynet. Det er Datatilsynets ansvar at føre tilsyn med overholdelsen af databeskyttelseslovgivningen i landet, herunder at modtage klager, yde vejledning og rådgivning, foretage undersøgelser og håndhæve lovgivningen ved behov. Datatilsynet spiller derfor en afgørende rolle i beskyttelsen af personoplysninger og håndhævelsen af databeskyttelsesreglerne i Danmark.
Transfer Impact Assessment (TIA)
En TIA er en systematisk analyse af overførslen af personoplysninger til usikre tredjelande. Formålet med en TIA er at vurdere og dokumentere lovligheden af disse overførsler.
Tredjeland
Et tredjeland er et land, som ikke er medlem af EU eller deltager i EØS-samarbejdet. EØS-landene er udover EU-medlemsstaterne Norge, Island og Liechtenstein.
Hvis du ønsker at overføre personoplysninger til et tredjeland, bør du først undersøge, om EU-Kommissionen har truffet afgørelse om, at beskyttelsesniveauet i det pågældende tredjeland eller den internationale organisation er tilstrækkeligt.
Tredjelandsoverførsel
En tredjelandsoverførsel refererer til den situation, hvor en dataeksportør sender personoplysninger fra et EØS-land til en dataimportør i et land uden for EØS, også kendt som et tredjeland, hvor der således ikke er den samme lovramme og de samme beskyttelsesstandarder som EØS-landene.
Formålet med at definere tredjelandsoverførsler er at understrege betydningen af at overholde de nødvendige regler og foranstaltninger for at beskytte personoplysninger, når de overføres til tredjelande.
Underdatabehandler
En underdatabehandler henviser til en fysisk eller juridisk person, der behandler personoplysninger på vegne af en databehandler. Det er typisk en tredjepart, der indgår i en kontraktuel aftale med en databehandler for at udføre specifikke opgaver vedrørende behandlingen af personoplysninger.
Begrebet bruges ikke direkte i databeskyttelsensforordningen (GDPR). I stedet anvendes betegnelserne ""oprindelig databehandler"" for at beskrive databehandleren og ""anden databehandler"" for at beskrive underdatabehandleren i henhold til artikel 28, stk. 4 i databeskyttelsesforordningen.
Underdatabehandleraftale
En underdatabehandleraftale er en aftale mellem en databehandler og en underdatabehandler, der regulerer den sidstnævntes behandling af personoplysninger på vegne af databehandleren. Ifølge databeskyttelsesforordningens art. 28, stk. 4, er det et krav, at der etableres en aftale mellem parterne, når en databehandler overlader behandlingen af personoplysninger til en underdatabehandler. Bestemmelsen indeholder også krav til indholdet af aftalen.
Formålet med en underdatabehandleraftale er at etablere klare retningslinjer og ansvar for behandlingen af personoplysninger mellem databehandleren og underdatabehandleren. Aftalen skal sikre, at underdatabehandleren opfylder kravene i GDPR og beskytter personoplysningerne på en passende måde. Den skal også fastlægge de specifikke opgaver og begrænsninger, som underdatabehandleren har, samt angive databehandlerens ansvar for at føre tilsyn med underdatabehandlerens aktiviteter.
Usikkert tredjeland
Et usikkert tredjeland referer til tredjelande, hvor EU Kommissionen ikke har fastslået, at der er et tilstrækkeligt beskyttelsesniveau i overensstemmelse med bestemmelserne i artikel 45 i databeskyttelsesforordningen (GDPR).
Når et tredjeland betragtes som usikkert, indebærer det, at landets lovgivning og databeskyttelsespraksis ikke anses for at give tilstrækkelig beskyttelse af personoplysninger i overensstemmelse med de høje standarder og principper, der er fastlagt i GDPR. Dette kan skyldes manglende specifikke databeskyttelseslove eller svagheder i eksisterende lovgivning og praksis, som kan udgøre risici for den registreredes privatliv og datasikkerhed.
Hvis en organisation ønsker at overføre personoplysninger til et usikkert tredjeland, skal de have et gyldigt overførselsgrundlag i henhold til GDPR's bestemmelser.
Se overførselsgrundlag.
Videreoverførsel
En videreoverførsel henviser til en situation, hvor en dataimportør videregiver personoplysninger til en tredjepart uden for EØS.
.jpg)
.jpeg)
.jpg)
.jpg)
.jpg)
.png)
.jpeg)
