GDPR

Hvad er GDPR?

GDPR er den engelske forkortelse for “General Data Protection Regulation”, der på dansk kendes som “databeskyttelsesforordningen”. GDPR reglerne forpligter alle danske virksomheder og myndigheder, når de behandler personoplysninger.

GDPR er et regelsæt, der regulerer behandlingen af personoplysninger. Der gælder forskellige regler for forskellige typer af oplysninger. Behandlingen af personoplysninger skal ske ud fra særlige regler og principper. Forordningen tillægger derudover, den registrerede rettigheder. Den registrerede er den som personoplysningerne angår. 

Hvad er behandling af personoplysninger?

Begrebet behandling er bredt defineret. Næsten alle former for kontakt med en personoplysning anses for en behandling ifølge GDPR-reglerne.

Behandling omfatter blandt andet søgning, sletning, indsamling, registrering, ændring, tilpasning, opbevaring, systematisering, brug, videregivelse eller formidling af personoplysninger.

Behandlingen skal for at være omfattet af GDPR reglerne ske elektronisk eller manuelt i et register.

Hvilke principper skal iagttages?

Behandling af personoplysninger skal altid ske ud fra principperne angivet i databeskyttelsesforordningen. Det er den dataansvarlige, der har ansvaret for, at behandlingen af personoplysninger sker ud fra principperne.

Der er i alt 6 principper, der skal iagttages ved databehandling:

• Princippet om lovlighed, rimelighed og gennemsigtighed
• Princippet om formålsbegrænsning
• Princippet om dataminimering
• Princippet om rigtighed
• Princippet om opbevarings begrænsning
• Princippet om integritet og fortrolighed

Hos Sagførerne står vi klar til at hjælpe dig med dine GDPR-retlige problemstillinger.

Dataansvarlig og databehandler

Det er vigtigt at være opmærksom på, hvem der er dataansvarlig og databehandler, så man undgår at påtage sig en andens forpligtelser, eller undlader at påtage sine egne forpligtelser.

Den dataansvarlige har pligt til at sikre, at behandlingen af personoplysninger sker i overensstemmelse med databeskyttelsesforordningen. Den dataansvarlige har ansvaret for at der er behandlingshjemmel, at opfylde den registreredes rettigheder, og indberette brud på persondatasikkerheden.

Databehandleren er den person, der behandler personoplysningerne på vegne af den dataansvarlige. Databehandleren bestemmer ikke, hvordan og med hvilket formål oplysningerne behandles. Databehandleren skal ligesom den dataansvarlige føre en fortegnelse over behandlingsaktiviteterne.

Hvad er en personoplysning?

Personoplysninger inddeles i tre kategorier. Det er vigtigt at være opmærksom på, hvilken kategori af oplysninger, som man behandler. Det er særligt vigtigt at holde for øje, hvorvidt en oplysning er personfølsom eller ej. Adgangen til at behandle personfølsomme oplysninger er snævrere, end for ikke-personfølsomme oplysninger, idet at de som udgangspunkt er ulovlige at behandle.

Behandling af personfølsomme oplysninger

Der er en snæver adgang til at behandle personfølsomme oplysninger, idet behandlingen som udgangspunkt er forbudt. Hvilke oplysninger, der er personfølsomme, er angivet i databeskyttelsesforordningen og omfatter alene følgende oplysninger:

• Race og etnisk oprindelse
• Politisk overbevisning
• Religiøs eller filosofisk overbevisning
• Fagforeningsmæssige tilhørsforhold
• Genetiske data
• Biometriske data med henblik på entydig identifikation
• Helbredsoplysninger
• Seksuelle forhold eller seksuel orientering

Det er lovligt, at behandle personfølsomme oplysninger, der er offentliggjort af den registrerede eller, hvis den registrerede samtykker til behandlingen. Derudover er det lovligt at behandle personfølsomme oplysninger hvis, det sker af hensyn til: 

• Arbejds-, sundheds-, og socialretlige forpligtelser eller rettigheder 
• Vitale interesser hos den registrerede eller en anden, hvis den registrerede ikke kan samtykke
• Intern behandling af medlemsoplysninger hos en fagforening, en politisk-, religiøs- eller filosofiskorganisation. 
• Behandling og fastlæggelse af et retskrav 
• Væsentlige samfundsinteresser 

Behandling af ikke-personfølsomme oplysninger

Ikke-personfølsomme oplysninger er alle de oplysninger, som ikke falder i kategorien “personfølsomme oplysninger”, eller er oplysninger om strafbare handlinger.

Oplysninger der ikke er personfølsomme i dataforordningens forstand kan f.eks. være:

• Navn
• Adresse
• Uddannelse
• Økonomiske forhold
• Alder
• Sygedage og fravær
• Familieforhold
• Telefonnummer
• Stilling

Kontakt Sagførerne, hvis du ønsker rådgivning i GDPR. Vores advokater er eksperter i GDPR-compliance.

Lovlig behandling af personoplysninger?

Lovlig behandling af personoplysninger forudsætter et retligt grundlag, hvilket også betegnes som, at have hjemmel til behandlingen. Hjemlen afhænger af, hvilken type personoplysning, der er tale om. Der gælder forskellige regler for behandling af følsomme og ikke-følsomme personoplysninger.

Hjemlen eller det retlige grundlag der lovliggøre behandling af ikke-følsomme personoplysninger er:

• Samtykke fra den registrerede 
• Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i
  
• Behandlingen er nødvendig for at overholde en retlig forpligtelse, der påhviler den dataansvarlige
• Behandlingen er nødvendig for at beskytte den registrerede eller en anden fysisk persons væsentlige interesser
• Behandlingen er nødvendig af hensyn til en opgave i en samfunds- eller myndigheds interesse.
• Behandlingen er nødvendig af hensyn til en legitim interesse, der er større end den registreredes interesse i, at dennes oplysninger ikke behandles.

Det typiske grundlag for behandling af personoplysninger er samtykke. Samtykket skal komme fra samme person, som personoplysningerne angår, være frivilligt, informeret og skal altid kunne trækkes tilbage.

Hvorfor er det vigtigt at have styr på GDPR?

Brud på datasikkerheden og GDPR-reglerne kan udløse store bøder. Bøderne kan være helt op til 20 millioner euro eller op til 4 % af virksomhedens omsætning, alt afhængigt af sagens omstændigheder. Ved at være compliant med GDPR-reglerne, undgår du store bødeforlæg.

Derudover kan påbud og indstillinger fra Datatilsynet skabe dårlig omtale og image for din virksomhed. Det er derfor vigtigt at du iagttager dine forpligtelser, når du behandler personoplysninger.

Kontakt Sagførerne, hvis du ønsker rådgivning i forbindelse med GDPR-compliance.

Oplysningspligt

Databeskyttelsesforordningen forpligter den dataansvarlige, til at oplyse den registrerede om behandlingen. Oplysningspligten vedrører flere forhold, end blot at oplysningerne behandles af den dataansvarlige.

Den registrerede har krav på at få følgende oplysninger fra databehandleren.

• Hvordan kan databehandleren kontaktes
• Hvilke oplysninger, der behandles
• Det retlige grundlag for behandlingen
• Formålet med behandlingen af oplysningerne
• Hvilke rettigheder, man som registreret har
• Vedrørende samtykket og at dette kan tilbagekaldes
• Hvor længe oplysningerne opbevares
• Hvem oplysningerne videregives til
• Hvor oplysningerne stammer fra
• Muligheden for at klage til Datatilsynet

Den registreredes rettigheder

Den som personoplysningerne angår kaldes også den registrerede. Den registrerede har i medfør af GDPR-reglerne særlige rettigheder i forbindelse med de oplysninger, der behandles og opbevares.

Den registreredes rettigheder omfatter i visse tilfælde blandt andet:

• Retten til indsigelse mod oplysningerne
• Retten til at få slettet sine oplysninger
• Ret til indsigt og adgang til oplysningerne
• Ret til at begrænse behandlingen af oplysningerne
• Ret til at få oplysningerne udleveret på en letlæselig og struktureret måde

Kontakt Sagførerne, hvis du ønsker rådgivning om GDPR. Vi er eksperter i GDPR og compliance.

Advokat til GDPR?

Hos Sagførerne kan vi hjælpe dig med GDPR-retlige problemstillinger og compliance. Vores advokater kan kontaktes på mail eller telefon. Alternativt kan du udfylde kontaktformularen nedenfor, så kontakter vi dig inden for 24 timer.

Første samtale er helt uforpligtende. Vi sender ikke en regning, inden vi har lavet en aftale med dig og sendt en ordrebekræftelse.