GDPR - Virksomhedsliv
Mere om personlige oplysninger i erhvervslivet
Behandling af personoplysninger inden for erhvervslivet er almindelig. Desuden er data, der ofte består af personoplysninger, blevet stadig vigtigere for virksomhederne at behandle. For eksempel finder behandlingen af personoplysninger sted inden for erhvervslivet for at kunne videreudvikle produkter eller tilpasse markedsføringen.
Behandling af personoplysninger på skoler
Skolerne behandler personoplysninger i forbindelse med deres aktiviteter, uanset om det er en offentlig eller privat aktivitet. Derudover har mange skoler elever, der er børn, hvilket betyder strengere regler i henhold til GDPR, fordi børn er en ekstra beskyttelsesværdig gruppe. Nogle personoplysninger, der behandles i forbindelse med skoleaktiviteter, har også en subjektiv karakter, som ofte er mere følsom end dem af objektiv karakter. Et eksempel på personoplysninger af subjektiv karakter er de studerendes karakterer.
Lærerne er ikke ansvarlige for korrekt behandling af personoplysninger
Det er skolen selv, dvs. den dataansvarlige, der er ansvarlig for at sikre, at behandlingen af personoplysninger finder sted i overensstemmelse med GDPR og andre gældende love og bestemmelser. Men lærerne behandler personoplysninger i deres arbejde. Derfor er det vigtigt, at skolen giver relevant information og uddannelse, så de udfører behandlingsaktiviteterne i overensstemmelse med GDPR. Hvis en lærer overtræder GDPR under deres behandling af personoplysninger, er det skolen, der kan holdes ansvarlig for den manglende overholdelse og eventuelle konsekvenser heraf.
Foreninger, der behandler personoplysninger
Foreninger, der er underlagt GDPR og behandler personoplysninger, såsom at føre et medlemsregister, der indeholder medlemmernes data, skal overholde reglerne i forordningen. Dette gælder, uanset om der er tale om en mindre eller større forening.
Medlemskab af en fagforening udgør følsomme personoplysninger
Det er vigtigt at huske på, at oplysninger om en persons medlemskab af en fagforening udgør følsomme personoplysninger som omhandlet i databeskyttelsesforordningens artikel 9. Derfor er det vigtigt at huske at følge de strengere regler, hvis foreningen er en fagforening. I henhold til den generelle regel i databeskyttelsesforordningens artikel 9 er det endda forbudt at behandle følsomme personoplysninger overhovedet, men der er visse undtagelser.
Fritagelse for medlemskab
Selv om den generelle regel forbyder behandling af følsomme personoplysninger, såsom oplysninger om en persons religiøse overbevisning, politiske holdninger eller medlemskab af en fagforening, kan det være tilladt. Hvis medlemskabet af en politisk forening, religiøs forening eller fagforening afslører følsomme personoplysninger, er det tilladt, forudsat at foreningen overholder de øvrige regler og betingelser.
Behandling af personoplysninger til forskningsformål
Det er ikke ualmindeligt at behandle personoplysninger til forskningsformål, og der er særlige regler i GDPR for en sådan behandling. Den part, der behandler personoplysninger til forskningsformål, skal bl.a. træffe passende tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte personoplysningerne. F.eks. pseudonymisering af personoplysninger. Derudover er der forskel på behandling af personoplysninger til videnskabelige forskningsformål og historiske forskningsformål.
Almindeligt forbundet med fælles kontrol
Forskningsinstitutioner samarbejder normalt med andre institutioner. Hertil kommer, at de i nogle tilfælde normalt udfører forskningsprojekter sammen. I sådanne tilfælde er det derfor vigtigt at præcisere forholdet mellem parterne og ansvaret for behandlingen af personoplysninger. Det er bl.a. godt at afklare følgende spørgsmål:
- Er begge institutioner fælles dataansvarlige, eller er de respektive institutioner selvstændige dataansvarlige?
- Kan der være et databehandlerforhold mellem de institutioner, der samarbejder om den pågældende forskning?
Behandling af personoplysninger til statistiske formål
Virksomheder kan have behov for at behandle personoplysninger til statistiske formål. En sådan behandling finder ofte sted i et aggregeret format. Aggregerede personoplysninger betyder, at de ikke længere kan knyttes til en person, og sådanne oplysninger klassificeres derfor ikke længere som personoplysninger.
Definition af statistiske formål i GDPR
Ifølge GDPR betyder statistiske formål, at en virksomhed behandler personoplysninger, der er nødvendige for at producere statistiske resultater. Det samme gælder statistiske undersøgelser. Ifølge 162. betragtning til databeskyttelsesforordningen betyder et statistisk formål, at resultatet af behandlingen ikke består af personoplysninger, men af aggregerede personoplysninger, og at resultatet ikke vil blive anvendt til at understøtte beslutninger eller handlinger vedrørende en bestemt person.
DATABESKYTTELSESFORORDNING
Forskellige roller, som virksomheder kan have under GDPR
En virksomhed, der behandler personoplysninger, er enten dataansvarlig eller databehandler. Det er den dataansvarlige, der afgør midlerne til og formålene med behandlingen. En databehandler behandler personoplysningerne på vegne af og i overensstemmelse med den dataansvarliges instrukser. For eksempel, hvis en virksomhed (dataansvarlig) ansætter et revisionsfirma (databehandler) til at håndtere løn. Derudover kan nogle virksomheder være nødt til at udpege en databeskyttelsesansvarlig.