At leve og rejse
Senest tjekket: 15/03/2019

Databeskyttelse i henhold til GDPR

Storbritanniens beslutning om at aktivere artikel 50 i EU-traktaten: Mere information

Den generelle forordning om databeskyttelse indeholder detaljerede krav til virksomheder og organisationer om indsamling, opbevaring og forvaltning af personoplysninger. Reglerne gælder både for europæiske organisationer, der behandler oplysninger om enkeltpersoner i EU, og organisationer uden for EU, der beskæftiger sig med personer i EU.

I hvilke tilfælde gælder den generelle forordning om databeskyttelse?

Den generelle forordning om databeskyttelse gælder, hvis:

Virksomheder etableret uden for EU, som behandler oplysninger om EU-borgere skal udpege en repræsentant i EU.

I hvilke tilfælde gælder den generelle forordning om databeskyttelse ikke?

Den generelle forordning om databeskyttelse gælder ikke, hvis:

Hvad regnes som personoplysninger?

Personoplysninger er alle oplysninger om en identificeret eller identificerbar person – også kaldet den registrerede. Personoplysninger omfatter oplysninger som:

Særlige kategorier af data

Du må ikke behandle oplysninger om en persons:

Hvem behandler personoplysningerne?

I forbindelse med databehandling kan personoplysninger sendes gennem flere forskellige virksomheder eller organisationer. Inden for denne cyklus er der to primære profiler, der håndterer behandlingen af personoplysninger:

Hvem fører tilsyn med, hvordan personoplysninger behandles i en virksomhed?

Den databeskyttelsesansvarlige, som kan være udpeget af virksomheden, har ansvaret for at føre tilsyn med, hvordan personoplysninger behandles, og informere og rådgive ansatte, som behandler personoplysninger, om deres forpligtelser. Den databeskyttelsesansvarlige samarbejder også med databeskyttelsesmyndigheden, som fungerer som kontaktpunkt for den databeskyttelsesansvarlige og enkeltpersoner.

Hvornår skal man udpege en databeskyttelsesansvarlig?

Din virksomhed har pligt til at udpege en databeskyttelsesansvarlig, hvis:

Hvis I f.eks. behandler personoplysninger med henblik på målrettet markedsføring gennem søgemaskiner baseret på personers onlineadfærd, har I pligt til at udpege en databeskyttelsesansvarlig. Hvis I derimod kun sender markedsføringsmateriale til jeres kunder en gang om året, er det ikke nødvendigt med en databeskyttelsesansvarlig. Hvis du er læge og indsamler data om dine patienters helbred, har du ligeledes ikke brug for en databeskyttelsesansvarlig. Men hvis du behandler personoplysninger om genetik og sundhed for et hospital, skal du have en databeskyttelsesansvarlig.

Den databeskyttelsesansvarlige kan være en ansat i din organisation eller en ekstern kontrahent, der udfører hvervet på grundlag af en tjenesteydelseskontrakt. En databeskyttelsesansvarlig kan være en enkeltperson eller en del af en organisation.

Databehandling for en anden virksomhed

En registeransvarlig må kun benytte en databehandler, der tilbyder tilstrækkelige garantier, som skal angives i en skriftlig aftale mellem de involverede parter. Aftalen skal også indeholde en række obligatoriske klausuler, som f.eks. at databehandleren kun behandler personoplysninger, når den registeransvarlige anmoder om det.

Videregivelse af data uden for EU

Når personoplysninger videregives uden for EU, vil den databeskyttelse, der følger med den generelle forordning om databeskyttelse, fortsat gælde. Det vil sige, at hvis du eksporterer data ud af EU, skal din virksomhed sørge for, at et af følgende forhold gør sig gældende:

Hvornår er det tilladt at behandle data?

Ifølge EU's databeskyttelsesregler skal du behandle data på en rimelig og lovlig måde med et specifikt og legitimt formål og kun behandle de data, der er nødvendige for at opfylde dette formål. For at behandle data skal én af følgende betingelser være opfyldt:

Aftale om databehandling – samtykke

Den generelle forordning om databeskyttelse indeholder strenge regler om behandling af data på grundlag af samtykke. Formålet med reglerne er at sikre, at den pågældende person forstår, hvad han eller hun giver samtykke til. Det betyder, at samtykke skal gives som en frivillig, specifik, oplyst og entydig tilkendegivelse gennem en anmodning i et klart og enkelt sprog. Samtykke skal gives i form af en bekræftelse såsom et afkrydsningsfelt online eller en underskrift på en papirformular.

Når en person giver samtykke til behandling af personoplysninger, må du kun behandle oplysninger med det formål, vedkommende har givet samtykke til. Du skal også give vedkommende mulighed for at trække sit samtykke tilbage.

Åbenhed

Du skal give de registrerede klar information om, hvem der behandler deres personoplysninger, og hvorfor. Du skal som minimum oplyse følgende:

I visse tilfælde skal du også angive:

Du skal fremlægge disse informationer i et klart og enkelt sprog.

Særlige regler om børn

Hvis du indsamler personoplysninger om et barn på grundlag af samtykke, f.eks. gennem en konto på et socialt medie, skal du først have forældrenes samtykke, f.eks. ved at sende en meddelelse til en forælder eller værge. Grænsen for, hvor længe en person anses som et barn, varierer fra land til land, men ligger på mellem 13 og 16 år.

Retten til adgang og retten til dataportabilitet

Du skal sørge for, at de registrerede har adgang til deres personoplysninger uden omkostninger. Hvis du får en anmodning om adgang til personoplysninger, skal du:

Når databehandlingen foretages på grundlag af samtykke eller en aftale, kan personen bede dig om at tilbagelevere personoplysningerne eller videregive dem til en anden virksomhed. Det kaldes retten til dataportabilitet. Du skal levere dataene i et almindeligt anvendt og maskinlæsbart format.

Ret til berigtigelse og til indsigelse

Hvis en person mener, at hans eller hendes personoplysninger er ukorrekte, fejlagtige eller ufuldstændige, har vedkommende ret til at få dem berigtiget eller suppleret hurtigst muligt.

Hvis personoplysningerne ændres eller slettes, skal du informere alle, du har delt oplysningerne med. Hvis nogen af de personoplysninger, du har delt med andre, er ukorrekte, skal du muligvis også gøre andre, der har set disse oplysninger, opmærksom på det (medmindre det vurderes at ville kræve en uforholdsmæssig stor indsats).

En person kan også når som helst gøre indsigelse mod behandling af hans eller hendes personoplysninger til et bestemt formål, når din virksomhed behandler dem på grundlag af jeres legitime interesser, eller til en opgave i offentlighedens interesse. Medmindre jeres legitime interesser vejer tungere end personens interesse, skal du stoppe behandlingen af personoplysningerne.

En person kan også bede om, at behandlingen af personoplysninger begrænses, mens det afgøres, om jeres legitime interesser vejer tungere end hans eller hendes interesser. I tilfælde af direkte markedsføring har du dog altid pligt til at standse behandlingen af personoplysninger, hvis personen beder dig om det.

Ret til sletning (retten til at blive glemt)

I nogle tilfælde kan en person bede den registeransvarlige om at slette vedkommendes personoplysninger, f.eks. hvis oplysningerne ikke længere er nødvendige til databehandlingsformål. Din virksomhed har dog ikke pligt til at slette dem, hvis:

Automatiske afgørelser og profilering

En person har ret til ikke at blive underlagt afgørelser, der alene er baseret på automatisk behandling. Der er dog visse undtagelser til denne regel, f.eks. hvis personen har givet sit udtrykkelige samtykke til den automatiske afgørelse. Medmindre den automatiske afgørelse er baseret på en lov, skal din virksomhed:

Hvis en bank for eksempel træffer en automatisk afgørelse om, hvorvidt den vil yde lån til en bestemt person, så skal denne person informeres om den automatiske afgørelse og have mulighed for at gøre indsigelse mod den og anmode om menneskelig medvirken.

Brud på datasikkerheden – korrekt underretning

Der er tale om et brud på datasikkerheden, hvis de personoplysninger, som du har ansvaret for, videregives, enten ved et uheld eller ulovligt, til uautoriserede modtagere eller gøres midlertidigt utilgængelige eller ændres.

Hvis der sker et brud på datasikkerheden og bruddet udgør en risiko for personens rettigheder og friheder, skal du underrette din datatilsynsmyndighed inden for 72 timer, efter at du bliver opmærksom på bruddet.

Alt efter om bruddet på datasikkerheden udgør en høj risiko eller ej for de berørte personer, kan din virksomhed også have pligt til at informere alle de berørte personer.

Besvarelse af forespørgsler

Hvis din virksomhed modtager en anmodning fra en person, som vil gøre brug af sine rettigheder, skal du besvare den hurtigst muligt og under alle omstændigheder inden for en måned fra modtagelsen af anmodningen. Hvis anmodningen er kompleks eller der indkommer mange anmodninger, kan svartiden forlænges til to måneder, så længe personen informeres om forlængelsen. Anmodninger skal behandles gratis.

Hvis en anmodning afvises, skal du informere personen om årsagen til at afvise den og om vedkommendes ret til at indgive en klage til databeskyttelsesmyndigheden.

Konsekvensanalyser

Det er obligatorisk at gennemføre en konsekvensanalyse vedrørende databeskyttelse, hvis den planlagte behandling vil indebære en høj risiko for personens rettigheder og friheder, f.eks. hvis der anvendes nye teknologier.

Der er en høj risiko, hvis:

Bemærk: Databeskyttelsesmyndighederne kan også vurdere, at andre kategorier af databehandling indebærer en høj risiko.

Hvis de foranstaltninger, der er angivet i konsekvensanalysen vedrørende databeskyttelse, ikke fjerner alle de udpegede høje risici, skal databeskyttelsesmyndigheden høres, inden den planlagte databehandling udføres.

Registrering

Du skal være i stand til at bevise, at din virksomhed handler i overensstemmelse med den generelle forordning om databeskyttelse, og at den opfylder alle sine forpligtelser – særligt hvis databeskyttelsesmyndigheden anmoder om det eller udfører en kontrol.

Det kan du for eksempel gøre ved at føre et detaljeret register over bl.a.:

Din virksomhed skal også have – og regelmæssigt opdatere – skriftlige procedurer og retningslinjer og gøre jeres ansatte bekendt med dem.

Hvis din virksomhed er en SMVen eller mikrovirksomhed, behøver I ikke føre register over jeres databehandling, så længe den:

  • ikke foretages regelmæssigt
  • ikke berører de pågældende personers rettigheder og friheder
  • ikke vedrører følsomme oplysninger eller strafferegisteroplysninger

Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger

Databeskyttelse gennem design betyder, at din virksomhed skal tage højde for databeskyttelsen tidligt i processen, når I planlægger nye måder at behandle personoplysninger på. Ifølge dette princip skal den registeransvarlige træffe alle de nødvendige tekniske og organisatoriske skridt for at implementere principperne om databeskyttelse og beskytte enkeltpersoners rettigheder. Disse skridt kan f.eks. omfatte brug af pseudonymisering.

Databeskyttelse gennem standardindstillinger betyder, at din virksomhed altid skal sørge for at have de mest databeskyttelsesvenlige indstillinger som standardindstillinger. Hvis der f.eks. er mulighed for to forskellige privatlivsindstillinger, og den ene af indstillingerne sikrer, at andre ikke kan få adgang til personoplysningerne, skal denne indstilling være standardindstillingen.

Overtrædelse af reglerne og sanktioner

Manglende overholdelse af den generelle forordning om databeskyttelse kan føre til store bøder på op til 20 millioner euro eller 4 % af din virksomheds globale omsætning for visse overtrædelser. Databeskyttelsesmyndigheden kan pålægge yderligere korrigerende foranstaltninger som f.eks. påbud mod behandling af personoplysninger.

Spørgsmål og svar – Databeskyttelse og beskyttelse af personoplysninger på nettet

Relaterede emner

EU-lovgivning

Har du brug for støtte fra hjælpetjenesterne?

Kontakt de specialiserede hjælpetjenester

Lokal erhvervsstøtte

Har du spørgsmål vedrørende drift af engrænseoverskridende virksomhed, f.eks. eksport eller udvidelse til et andet EU-land? Så kan Enterprise Europe-netværket tilbyde dig gratis rådgivning

Del denne side: