Persondata

Persondataforordningen

Persondataforordningen og den supplerende databeskyttelseslov trådte i kraft den 25. maj 2018. De nye regler er langt fra alle nye i den forstand, at mange bestemmelser viderefører den regulering, der tidligere var fastsat i databeskyttelsesdirektivet og persondataloven.

Persondataforordningens mål er, at borgerne skal have tillid til den måde personoplysninger behandles. Det er den dataansvarlige, der skal sørge for, at borgerne nyder databeskyttelse. Persondataforordningens regler skal medføre databeskyttelse under hensyntagen til den aktuelle informationsteknologi, og netop dette indebærer nogle udfordringer for den dataansvarlige.

Behandling og Personoplysninger

Persondataforordningen gælder for behandling af personoplysninger, når behandlingen er elektronisk eller sker med henblik på et manuelt register. Behandling er enhver aktivitet, der er relateret til en personoplysning. Det kan f.eks. være indsamling, registrering, systematisering, opbevaring, brug, videregivelse eller sletning af oplysninger.

Der er tale om oplysninger, der direkte eller indirekte identificerer en fysisk person. Begrebet fysisk person omfatter også enkeltmandsvirksomheder, mens oplysninger om andre typer virksomheder, f.eks. et A/S eller et ApS, ikke er omfattet af persondataforordningen. Det er den dataansvarlige, der må dokumentere, at en bestemt oplysning ikke er en personoplysning, og det er en tung bevisbyrde at løfte.

Følsomme personoplysninger og almindelige personoplysninger

Persondataforordningen sondrer mellem følsomme og almindelige personoplysninger. Følsomme personoplysninger er udtømmende reguleret og omfatter oplysninger om race, etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, genetiske data, biometriske data med henblik på entydig identifikation, helbredsoplysninger, seksuelle forhold eller orientering. Almindelige personoplysninger er personoplysninger, der ikke falder ind under kategorien følsomme personoplysninger, det er bl.a. identifikationsoplysninger som f.eks. navn og adresse og oplysninger om økonomiske forhold. Oplysninger om strafbare forhold og CPR-nummer er ikke reguleret af persondataforordningen men i databeskyttelsesloven.

Behandlingsprincipper og behandlingshjemmel

Du skal som dataansvarlig overholde en række principper for behandling af personoplysninger. Principperne er:

  • Lovlighed, rimelighed og saglighed: Den person der behandles oplysninger om (den registrerede) skal have oplyst, hvem der er ansvarlig for behandlingen, og hvad formålet med behandlingen er.
  • Formålsbegrænsning: Personoplysninger, der er indsamlet med henblik på et bestemt sagligt formål, må ikke på et senere tidspunkt anvendes til et formål, der er uforeneligt med det oprindelige formål. Du må ikke indsamle oplysninger med den begrundelse, at det måske senere kan vise sig nyttigt at være i besiddelse af oplysningerne.
  • Dataminimering (proportionalitet): Behandlingen af personoplysninger skal begrænses til det, der er nødvendigt for at opfylde formålet. Du må ikke indsamle oplysninger, blot fordi de måske i fremtiden vil være nyttige (”just in case”), og du må ikke opbevare overflødige data eller overskudsinformation.
  • Rigtighed: Personoplysningerne skal være rigtige og ajourførte, og du skal slette eller berigtige urigtige oplysninger.
  • Opbevaringsbegrænsning: Personoplysninger skal slettes eller gøres anonyme, når det ikke længere er nødvendigt for dig at have oplysningerne.
  • Integritet og fortrolighed: Personoplysninger skal beskyttes mod uautoriseret eller ulovlig behandling, ligesom det skal sikres, at oplysninger ikke går tabt eller bliver beskadiget.

Du skal altid overholde principperne, men for at anvende personoplysninger skal du herudover have en såkaldt ”behandlingshjemmel”. Hjemlen til behandling af almindelige personoplysninger kan f.eks. være, at behandlingen er nødvendig til opfyldelse af en kontrakt med den registrerede. Hjemlen til behandling af følsomme personoplysninger kan f.eks. være et samtykke fra den registrerede.

De registreredes rettigheder

Formålet med de registrerede rettigheder er bl.a. at skabe åbenhed om, hvem der behandler oplysninger om de registrerede. Nogle af rettighederne skal du sørge for at iagttage på eget initiativ, hvorimod andre af rettighederne kun skal iagttages efter anmodning fra de registrerede.

  • Oplysningspligt: Den registrerede har ret til at modtage oplysning om en behandling af sine personoplysninger. Du skal på eget initiativ skriftligt oplyse den registrerede om, at der indsamles og behandles oplysninger om den pågældende.
  • Indsigtsret: Den registrerede har ret til at få indsigt i sine personoplysninger og modtage en række oplysninger om den behandling, som du foretager.
  • Berigtigelsesret: Den registrerede har ret til at få urigtige eller ufuldstændige personoplysninger om sig selv berigtiget, og du har pligt til at underrette dem, som du har videregivet oplysningerne til.
  • Begrænsningsret: Den registrerede har i visse tilfælde ret til at få begrænset behandlingen af sine personoplysninger, således at du kun må opbevare oplysningerne, og du har pligt til at underrette dem, som du har videregivet oplysningerne til.
  • Sletningsret: Den registrerede har med visse undtagelser ret til at få slettet oplysninger om sig selv, og du har pligt til at underrette dem, som du har videregivet oplysningerne til.
  • Indsigelsesret: Den registreret har i visse tilfælde ret til at gøre indsigelse mod en ellers lovlig behandling af sine personoplysninger.
  • Dataportabilitetsret: Den registrerede har ret til at modtage egne personoplysninger, som den registrerede har givet dig i et struktureret, almindeligt anvendt og maskinlæsbart format til personlig brug.

Den registrerede kan desuden klage til Datatilsynet over en behandling af den pågældendes personoplysninger.

Den dataansvarliges opgaver

Persondataforordningen og persondataretten fastsætter regler for den, der råder over personoplysningerne. En dataansvarlig er typisk den virksomhed, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.

For at sikre gennemsigtighed og overholde dokumentationskravene, bør den dataansvarlige bl.a. udarbejde følgende interne dokumenter:

  • Fortegnelser over behandlingsaktiviteter.
  • Skriftlige databehandleraftaler.
  • Politik for overholdelse af persondataforordningen, herunder behandlingsreglerne, rettighedsreglerne og sikkerhedsreglerne og fordeling af ansvaret for overholdelse af reglerne.
  • IT-politik.
  • Intern vejledning for håndtering af brud på persondatasikkerheden.

Har du spørgsmål, er du velkommen til at kontakte:

Advokat
Winnie Bøgelund Norvold
Email: wbn@dklaw.dk
Tlf: +45 33 13 69 20