[accordion clicktoclose=true tag=h1][accordion-item title=”Hvem beskytter persondatalovgivningen?” state=closed]
Fysiske personer, såsom kunder og medarbejdere.
Hvad med virksomheder?
- Enkeltmandsvirksomheder og I/S’er er omfattet
- A/S og ApS’er er ikke omfattet
- Undtagen: Oplysninger fra A/S/ ApS, hvor der henvises til virksomheders ansatte, såsom en salgschefs navn, e-mail, telefonnummer mv. Fx kontakter hos leverandører og samarbejdspartnere
[/accordion-item][/accordion]
[accordion clicktoclose=true tag=h1][accordion-item title=”Hvem skal overholde lovgivningen?” state=closed]
- Private virksomheder
- Offentlige myndigheder
- Organisationer
Private personer skal ikke overholde reglerne, når der er tale om rent personlige og familiemæssige aktiviteter. [/accordion-item][/accordion]
[accordion clicktoclose=true tag=h1][accordion-item title=”Hvornår finder loven anvendelse?” state=closed]
Ved hvert register med personoplysninger, uanset om det er på en computer, papirudskrift eller i et manuelt kartotek.
Hvad med den post-it-seddel, hvor der undtagelsesvist bliver skrevet et navn og telefonnummer på, men efter 10 minutter smides i skraldespanden?: Denne er ikke omfattet af loven. [/accordion-item][/accordion]
[accordion clicktoclose=true tag=h1][accordion-item title=”Hvad er en personoplysning?” state=closed]
En personoplysning er enhver form for information om en identificeret eller identificerbar fysisk person. Den fysiske person bliver kaldt for den registrerede.
Der er to former for personoplysninger, almindelige personoplysninger og følsomme personoplysninger.
Almindelige personoplysninger: navn, adresse, e-mail, telefonnummer, nummerplade, stelnummer, fødselsdato, IP-adresse, GPS-oplysninger, løn, kreditkortnummer, stilling mv.
Følsomme personoplysninger: helbredsoplysninger, politisk overbevisning, race, religion. Der findes strengere krav til håndtering og opbevaring af personoplysningerne.
[/accordion-item][/accordion]
[accordion clicktoclose=true tag=h1][accordion-item title=”Hvad er en behandling?” state=closed]
En behandling er stort set alt, hvad virksomheden gør med en personoplysning. Det er fx indsamling, registrering, systematisering, opbevaring, søgning, brugen, tilpasning/ændringen, videregivelse, blokering, sletning.
[/accordion-item][/accordion]
[accordion clicktoclose=true tag=h1][accordion-item title=”Hvad er en dataansvarlig og en databehandler?” state=closed]
I persondataretten kan virksomheden enten være dataansvarlig eller databehandler.
En dataansvarlig afgør, til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger. En virksomhed er typisk dataansvarlige for deres egne kunde- og personaleoplysninger.
En databehandler følger beslutningerne, men har et begrænset råderum. En databehandler kan fx være it-leverandører, DMS-systemer, økonomi-systemer, som behandler data på den dataansvarliges vegne.
En tredjemand er fx en anden virksomhed, som får en selvstændig ret til at behandle personoplysningerne, og bliver dermed også dataansvarlig.
[/accordion-item][/accordion]
[accordion clicktoclose=true tag=h1][accordion-item title=”Hvornår må en virksomhed behandler personoplysninger?” state=closed]
En virksomhed må kun behandle personoplysninger, hvis der er et hjemmelsgrundlag/behandlingshjemmel. I det følgende er omtalt dem, der er relevant for jeres branche. Det bemærkes, at de kun er gældende ved almindelige oplysninger.
1) Samtykke – enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse
Det bør altid overvejes, om virksomheden kan anvende andre retlige grunde for sin behandling (fx kontrakt eller interesseafvejning), da et samtykke kan trækkes tilbage.
- Dokumentation
- Klar adskillelse fra andre vilkår (og fremhævet)
- Forståelig og i let tilgængelig form
- Samtykket skal altid kunne trækkes tilbage
- Brug ABDK’s samtykketekst
Markedsføringsloven: Der skal bruges et samtykke for, at en virksomhed må sende markedsføring til sin kunde. Læs mere om dette i persondatafolderen.
2) Nødvendigt for at kunne indgå eller opfylde en aftale
Fx indhentelse og registrering af oplysninger om kunder i forbindelse med lejekontrakter, køresedler, slutsedler og serviceaftaler.
3) Nødvendigt for at overholde lovmæssige krav
Fx købelovens regler om reklamationsret.
4) Interesseafvejning
Virksomheden mener, det er nødvendigt at behandle oplysningerne, og at det ikke overstiger kundens interesser.
Fx kundekartotek. Virksomheden kan mene, det er nødvendigt at registrere sine kunder i et kartotek. Denne registrering sker, da virksomheden ønsker at se, hvad efterspørgslen fra kunderne er. Denne registrering vil ikke påvirke kunden derfor er behandlingen lovlig.
Fx kontakt til en kunde, når værkstedet er færdig med at reparere motorcyklen.
[/accordion-item][/accordion]
[accordion clicktoclose=true tag=h1][accordion-item title=”Hvad er en databehandleraftale?” state=closed]
Den dataansvarlige skal indgå skriftlige databehandleraftaler med databehandleren, hvor der skal reguleres følgende:
- Hvad skal databehandleren lave? Formål?
- Varigheden af behandlingen?
- Hvilke typer af personoplysninger behandles?
- Hvem behandles der personoplysninger omkring?
- Parternes rettigheder og forpligtelser
[/accordion-item][/accordion]
[accordion clicktoclose=true tag=h1][accordion-item title=”Hvordan skal personoplysningerne behandles?” state=closed]
- Lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede
- Til et relevant og sagligt formål, senere behandling må ikke være uforeneligt med formålet
- Dataminimering – relevante og tilstrækkelige oplysninger
- Datakvalitet – oplysningerne skal være rigtige og ajourførte
- Sletning – oplysningen skal slettes, når formålet ikke længere er tilstede
- Integritet og fortrolighed – oplysningerne skal sikres den tilstrækkelig sikkerhed
- Behandles på en måde, som sikrer tilstrækkelig sikkerhed for personoplysningerne
Hvordan behandles personoplysningerne på en måde, som sikrer tilstrækkelig sikkerhed?
- at der ikke er synlige papirer om kunders personoplysninger i fx jeres ansattes skraldespande ved deres skriveborde,
- at der ikke ligger sagsmapper med kundernes oplysninger fremme til frit skue,
- at computeren skal låses når en arbejdsplads efterlades
- at der skal en lås på de skabe, der indeholder registrer med personoplysninger
- at personoplysningen skal slettes, når den ikke længere har et formål med at være registreret
[/accordion-item][/accordion]
[accordion clicktoclose=true tag=h1][accordion-item title=”Hvornår må en virksomhed behandle CPR-nummer?” state=closed]
I den nuværende lovgivning gælder særlige regler for behandling af en kundes CPR-nummer.
Enten skal det stå i en lov, ellers skal kunden give sit samtykke.
Grunden til at en virksomhed må notere en kundes CPR-nummer på en slutseddel, er, at det følger af registreringsbekendtgørelsen, at der ved indregistrering af et køretøj skal ske en anmeldelse til DMR, hvor bl.a. CPR-nummer skal angives. [/accordion-item][/accordion]
[accordion clicktoclose=true tag=h1][accordion-item title=”Hvilke rettigheder har den registrerede?” state=closed]
- Oplysningspligt ved indsamling – hvordan behandler I personoplysningerne?
- Indsigt – hvilke oplysninger har I om den registrerede?
- Berigtigelse af oplysningerne
- Sletning af oplysningerne
- Indsigelse mod behandlingen
- Automatisk individuel beslutningstagning – ret til ikke at blive underlagt en beslutning, som eksempelvis en computer har truffet (fx RKI), den registrerede får lov til ”at få hænder på”.
[/accordion-item][/accordion]
[accordion clicktoclose=true tag=h1][accordion-item title=”Hvad er det nu med de bøder? ” state=closed]
Der er lagt op til store bøder, hvis ikke lovgivningen overholdes. Der kommer til at være to niveauer af bøder.
Niveau 1: op til 10 mio. EUR eller op til 2 % af virksomhedens globale årlige omsætning, fx ved overtrædelse af reglerne om:
- Samarbejde med tilsynsmyndigheder (datatilsynet)
- Sikkerhedsforanstaltninger
Niveau 2: op til 20 mio. EUR eller op til 4 % af virksomhedens globale årlige omsætning, fx ved overtrædelse af reglerne om:
- Grundprincipper og behandlingsregler
- Betingelser for samtykke
- Registreredes rettigheder
Hvis ikke virksomheden overholder lovgivningen, så er der en risiko for bøder. Det er Datatilsynet der fører tilsyn med overholdelse af lovgivningen. Hvis Datatilsynet kommer på besøg hos en virksomhed, for enten at føre tilsyn, eller fordi de har modtaget en klage over, at virksomheden ikke overholder lovgivningen, så vil det starte med, at virksomheden få et påbud fra Datatilsynet om at overholde lovgivningen. Hvis virksomheden ikke overholder dette påbud, så kan en bøde komme på tale. Det er domstolene, der i sidste ende bestemmer størrelsen af bøden.
[/accordion-item][/accordion]
[accordion clicktoclose=true tag=h1][accordion-item title=”Hvad skal der gøres, hvis en virksomhed rammes af et sikkerhedsnedbrud?” state=closed]
Virksomheden har pligt til at kontakte Datatilsynet, hvis der er et sikkerhedsnedbrud.
Ved brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet udbredelse af eller adgangen til personoplysninger, der er videregivet eller på anden måde behandlet, har virksomheden pligt til at orientere Datatilsynet om dette. Hvad skal virksomheden gøre?
• Anmeldelse til Datatilsynet inden for 72 timer
• Når et sikkerhedsnedbrud indebærer en høj risiko for registreredes rettigheder og friheder, skal den pågældende underrettes uden ugrundet ophold
• Databehandleren skal underrette den dataansvarlige uden ugrundet ophold
[/accordion-item][/accordion]
Opfølgende spørgsmål:
[accordion clicktoclose=true tag=h1][accordion-item title=”Er fysiske visitkort omfattet af loven?” state=closed]
Fysiske visitkort er som sådan ikke omfattet af loven. Hvis informationerne indføres i en elektronisk adressebog eller systematiseres i et søgbart arkiv bliver de omfattet.
[/accordion-item][/accordion]
[accordion clicktoclose=true tag=h1][accordion-item title=”Hvor længe må virksomheden gemme personoplysninger?” state=closed]
En virksomhed må gemme personoplysninger, så længe der er et nødvendigt og sagligt formål med det. Når der ikke længere er et nødvendigt og sagligt formål – fx når personoplysningerne ikke længere skal bruges til det formål, de er indsamlet til, eller når der ikke er lovkrav om at opbevare personoplysningerne – skal de slettes eller gemmes på en form, hvor der ikke længere er tale om personoplysninger (anonymiseres).
Virksomheden skal derfor konkret overveje, hvor længe et formål skal gælde, og kan fastsætte en udløbsdato på personoplysningerne, allerede når de fødes. Det er et godt eksempel på databeskyttelse gennem design.
[/accordion-item][/accordion]
[accordion clicktoclose=true tag=h1][accordion-item title=”Må en virksomhed videregive personoplysninger?” state=closed]
En videregivelse af personoplysninger indebærer, at oplysningerne meddeles en tredjemand, som herefter har en selvstændig ret til at behandle oplysningerne. Det er fx en videregivelse, når man videregiver personoplysninger til en offentlig myndighed, eller når der meddeles oplysninger mellem to juridiske enheder i en koncern.
[/accordion-item][/accordion]
[accordion clicktoclose=true tag=h1][accordion-item title=”Skal virksomheden rydde op i kundedatabasen?” state=closed]
Der skal ryddes op i kundedatabasen, og man kan med fordel etablere sletterutiner, så forhenværende kunder slettes. Dette kan lade sig gøre ved at designe sit CRM-system således, at kunder der ikke har været aktive i en fastsat periode automatisk slettes efter det fastsatte tidsrum.
Der er ikke pligt til løbende at holde personoplysningerne ajourførte, i de tidsrum, hvor de ikke anvendes, inden de rammer slettefristen.
Man skal være opmærksom på, at der kan være hjemmel i andre love, som betyder, at personoplysningerne skal gemmes i en årrække og derfor ikke må slettes. Fx kræver bogføringsloven, at fakturaer er gemt i en periode. Også garantiperioder for købte produkter kan berettige, at data opbevares i længere tid.
[/accordion-item][/accordion]
[accordion clicktoclose=true tag=h1][accordion-item title=”Er personoplysninger, som indgår i back up, omfattet af reglerne?” state=closed]
Det er endnu uklart, så det kan der ikke siges noget om endnu.
[/accordion-item][/accordion]
[accordion clicktoclose=true tag=h1][accordion-item title=”Er den lille bitte private virksomhed omfattet af persondataloven?” state=closed]
Ja. Persondataloven gælder for behandling af personoplysninger, uanset størrelsen af den organisation, virksomhed mv., der foretager behandlingen.
[/accordion-item][/accordion]
[accordion clicktoclose=true tag=h1][accordion-item title=”Er der særlige sikkerhedskrav i forbindelse med behandling af oplysninger om personnummer?” state=closed]
Hvis oplysninger om personnummer overføres via hjemmesider, skal dette ske krypteret. Derudover anbefaler Datatilsynet, at private virksomheder foretager kryptering, når oplysninger om personnummer sendes med e-mail over internettet.
I praksis skal man derfor være opmærksom på, om de dokumenter, man agter at sende per e-mail, fx en ansættelseskontrakt, indeholder oplysninger om personnummer. I så fald skal dokumenterne sendes krypteret.
[/accordion-item][/accordion]
[accordion clicktoclose=true tag=h1][accordion-item title=”Må en virksomhed påføre CPR nummer i brevpost til en kunde?” state=closed]
Det anses almindeligvis for at være en tilstrækkelig sikker fremgangsmåde at fremsende oplysninger per brevpost. Det er derfor ikke i strid med persondataloven, at et brev indeholder et personnummer, medmindre det kan læses, fx i brevruden.
[/accordion-item][/accordion]
[accordion clicktoclose=true tag=h1][accordion-item title=”Hvad skal man som privat virksomhed være opmærksom på, når man sender personoplysninger per e-mail?” state=closed]
Persondataloven stiller krav om, at virksomheder beskytter alle de personoplysninger, som de behandler, med tilstrækkelige sikkerhedsforanstaltninger. Efter loven er det som udgangspunkt op til den enkelte virksomhed at vurdere og beslutte, hvilke sikkerhedsforanstaltninger der er nødvendige i en given situation.
Ifølge datatilsynet er det en passende sikkerhedsforanstaltning – for både offentlige og private aktører – at anvende kryptering ved transmission af fortrolige og følsomme personoplysninger med e-mail via internettet. Det er således ikke længere en anbefaling men et krav fra Datatilsynet, at fortrolige og følsomme personoplysninger sendes krypteret.
Du kan læse mere om Datatilsynets krav og anbefalinger i forbindelse med overførsel af personoplysninger over internettet her.
[/accordion-item][/accordion]
[accordion clicktoclose=true tag=h1][accordion-item title=”Betragtes et billede som en personoplysning?” state=closed]
Ja, hvis det drejer sig om et billede af en genkendelig person, vil der være tale om en personoplysning efter persondataloven.
[/accordion-item][/accordion]
Brug for hjælp til et andet juridisk område?
Her søger du efter et emne ⬇
Prøv: fortrydelsesret, annoncer, formularer eller lignende …