GDPR Learning Hub

Menu
  • Tag quizzer
  • Download vejledninger
  • Køb kurser
  • Køb skabeloner
  • GDPR-kurser er under opbygning

GDPR i sammenhæng med branchen

Onlinebehandling af personoplysninger

Virksomheder foretager ofte behandling af personoplysninger online. Mange mennesker rundt om i verden er online på forskellige digitale platforme i deres hverdag, lige fra små børn til ældre mennesker.

GDPR Online

Internettet er blevet en stor og vigtig del af vores hverdag. Vi bruger internettet og digitale platforme til forskellige ting, såsom at betale regninger, bestille ting, kommunikere med venner og meget mere. Når en person gør dette, behandles vedkommendes personoplysninger af forskellige aktører, på forskellige måder og til forskellige formål. 

GDPR er en EU-forordning, der regulerer, hvordan personoplysninger kan behandles, f.eks. hvis de tilhører en person, der bor i EU. Et udgangspunkt for virksomheder, der er underlagt GDPR, er at huske på, at jo vigtigere personoplysningerne er, jo højere er kravene. 

Onlinetjenester (informationssamfundets tjenester)

I princippet behandler virksomheder, der leverer onlinetjenester, altid personoplysninger online. Eksempler på onlinetjenester er sociale medier, e-handelsplatforme og søgemaskiner. Det er vigtigt at huske på, at mange børn bruger internettet og onlinetjenester af forskellig art, såsom spil eller sociale medier. Når børn bruger onlinetjenester, er reglerne strengere med hensyn til behandling af børns personoplysninger. 

What breaches of the GDPR can lead to an administrative fine?

Børn har stærkere beskyttelse under bl.a. GDPR

Da børn er en yderligere beskyttelsesværdig gruppe, er de mere beskyttede end voksne i henhold til GDPR. Dette skyldes bl.a., at børn kan have sværere ved at forstå de garantier, konsekvenser, risici og rettigheder, de har i forbindelse med behandlingen af deres personoplysninger. Betragtning 38 i databeskyttelsesforordningen behandler dette punkt nærmere. 

Aldersgrænsen for et gyldigt samtykke fra et barn

I henhold til GDPR kan et barn, der er fyldt 16 år, give gyldigt samtykke til behandling af sine personoplysninger. Medlemsstaterne har dog ret til at sænke aldersgrænsen i henhold til artikel 8 i GDPR. I Sverige sænkes aldersgrænsen til 13 år, hvilket er minimumsalderen. På den anden side fremgår det af 38. betragtning til databeskyttelsesforordningen, at samtykke fra et barns værge eller værge ikke bør kræves, hvis det vedrører rådgivnings- eller forebyggelsestjenester, der tilbydes direkte til børn. F.eks. rådgivning om afhængighed, kriser eller andre former for onlinehjælpetjenester for børn og unge.

Overvej altid FN's konvention om barnets rettigheder

Alle EU-lande har vedtaget FN’s konvention om barnets rettigheder (UNCRC). Desuden har flere lande, f.eks. Sverige, vedtaget det som national lovgivning. Det er godt for virksomheder altid at have konventionen om barnets rettigheder i tankerne, når de opretter en onlinetjeneste rettet mod børn. 

Databeskyttelse gennem standardindstillinger og databeskyttelse gennem design

Det er vigtigt at have indbygget databeskyttelse, da det er et krav til dataansvarlige i henhold til artikel 25 i GDPR. Det er ligegyldigt, om det er en start-up eller en multi-milliard dollar selskab. Kort sagt betyder det, at alle virksomheder skal arbejde aktivt for at overholde kravene i GDPR. Det betyder blandt andet, at virksomhederne skal: 

Gennemføre og tilbyde databeskyttelsesvenlige indstillinger, f.eks. give brugeren mulighed for at trække sit samtykke tilbage. Det skal være lige så let at trække sit samtykke tilbage som at give samtykke i overensstemmelse med databeskyttelsesforordningens artikel 7, stk. 3.

Have et retsgrundlag for hver enkelt behandling i overensstemmelse med artikel 6 i GDPR.

Overholde de syv grundlæggende databeskyttelsesprincipper i henhold til artikel 5 i GDPR.

Træffe passende organisatoriske og tekniske sikkerhedsforanstaltninger i overensstemmelse med artikel 32 GDPR.

Cookies

Mange hjemmesider og applikationer bruger cookies, hvilket kan føre til behandling af personoplysninger online. Cookies er små tekstfiler, der gemmes på den enhed, der bruges, når du besøger webstedet eller applikationen (såsom en computer, mobiltelefon eller tablet). Der er grundlæggende to typer cookies: nødvendige og frivillige. Reglerne er forskellige for dem. I EU danner både GDPR og e-databeskyttelsesdirektivet grundlag for den centrale lovgivning om cookies.

Krav til behandling af nødvendige cookies

Nødvendige cookies anvendes altid uden forudgående samtykke fra brugeren. Det er dog vigtigt at huske på, at disse cookies skal være strengt nødvendige for at muliggøre levering af en tjeneste eller funktion, som brugeren har anmodet om. For eksempel en cookie, der gør det muligt for en e-handelsplatform at huske, hvad brugeren har tilføjet til sin indkøbskurv, for at muliggøre færdiggørelsen af købet.

Hvis en virksomhed kun bruger essentielle cookies, bør virksomheden offentliggøre og præsentere en cookie-meddelelse til brugeren. Virksomheden behøver dog ikke at installere en cookie plug-in for at anmode om samtykke til disse cookies.

Krav til behandling af frivillige cookies

Hvis virksomheden ønsker at bruge frivillige cookies, gælder følgende:

Sensitive personal data according to GDPR
Samtykke

Selskabet skal indhente aktivt og frivilligt samtykke fra brugeren vedrørende brugen af disse valgfrie cookies. Det betyder f.eks., at der ikke bør sættes kryds i et samtykkefelt. Desuden bør det være lige så let for brugeren at trække sit samtykke tilbage som at give det.

What is the definition of anonymised data?
Oplysningskrav

Brugeren skal informeres om behandlingen og de frivillige cookies, som virksomheden ønsker at bruge. Dette gøres problemfrit af virksomheden, der offentliggør en cookie-meddelelse. Eksempler på, hvad der skal angives, er, hvilke cookies der bruges, hvad deres funktion og formål er, hvor længe de gemmes, hvordan personen kan tilbagekalde samtykket osv.

Meddelelse

Virksomheder kommunikerer meget digitalt og gemmer også personoplysninger digitalt via forskellige platforme til forskellige formål. For eksempel behandles personoplysninger online af virksomhedens medarbejdere, der sender e-mails, gemmer kundernes telefonnumre i CRM-systemet, modtager CV’er fra potentielle medarbejdere og meget mere. Derfor er det godt for virksomhedsejere og medarbejdere at kende reglerne i GDPR, så de ikke overtræder reglerne og risikerer, at virksomheden bliver dømt til at betale store bøder. 

E-mail

Selv om der ikke er specifikke bestemmelser i GDPR om behandling af personoplysninger ved brug af e-mail, er der mange generelle regler, som virksomheden skal have i tankerne. Mange e-mails indeholder normalt personoplysninger, og derfor gælder GDPR. 

For eksempel kan selve e-mail-adressen være personoplysninger, hvis den indeholder et fornavn og/eller efternavn. Derudover kan en e-mail indeholde personoplysninger, såsom afsenderens kontaktoplysninger (adresse, telefonnummer, e-mailadresse), andre personers personoplysninger, der fremgår af et vedhæftet dokument eller lignende.

Kan arbejdsgivere sende lønsedler til medarbejdere via e-mail?

Hvis lønsedlen indeholder oplysninger om sygefravær eller andre følsomme personoplysninger i henhold til databeskyttelsesforordningens artikel 9, må arbejdsgiveren ikke sende den pr. ukrypteret e-mail. Bemærk, at det kan være tilladt at gøre det, hvis det sker via krypteret e-mail. Grunden til, at virksomheden ikke bør sende det via ukrypteret e-mail, hvis det indeholder følsomme personoplysninger, er fordi det ikke er sikkert nok. Med andre ord er sikkerhedskravene højere ved behandling af følsomme personoplysninger, som lønsedler normalt indeholder. 

HR

Virksomheder behandler personoplysninger regelmæssigt i deres HR-arbejde. Dette sker f.eks. fra det tidspunkt, hvor virksomheden modtager et CV fra en jobsøgende og er i gang i hele ansættelsesperioden med henblik på opfyldelse af arbejdsgiverens arbejdsretlige forpligtelser samt i en vis periode efter ansættelsens ophør. 

Subjektive vurderinger kan være mere privatlivsfølsomme

Virksomheder kan ønske at behandle personoplysninger, der er knyttet til medarbejderens præstation, og som kan have en subjektiv karakter. For eksempel om en arbejdstager er god til sit job, for at kunne være en fremtidig reference eller for at se, hvem der er egnet til at blive forfremmet. 

Websider

Reglerne for behandling af personoplysninger online via websteder kan være komplicerede, da det kan gøres på forskellige måder og til forskellige formål. 

 

Glem ikke at informere os om behandlingen

Mange websteder offentliggør en kontaktformular, som brugerne kan bruge til at kontakte virksomheden direkte. Det er ofte obligatorisk for brugeren at udfylde deres navn og e-mail-adresse, eventuelt endda telefonnummer, for at virksomheden skal kunne svare på meddelelsen. Disse typer af data udgør personoplysninger i henhold til GDPR. En fejl, som mange virksomheder begår, er, at de glemmer at informere om behandlingen, før brugeren sender beskeden til virksomheden. 

Vigtige afvejninger
Ytringsfrihed

Mange lande har en ytringsfrihed lov, og hvis det er en forfatning som i Sverige, forfatningen er i nogle dele over GDPR. Hvis en virksomhed f.eks. har modtaget et såkaldt frivilligt offentliggørelsescertifikat i Sverige, er det tilladt for virksomheden at behandle personoplysningerne på en måde, der ellers ville være i strid med GDPR.

Subjektivt integritetskänsliga personuppgifter
Journalistiske formål

Reglerne for behandling af journalisters personoplysninger er forskellige fra reglerne for "almindelige virksomheder".

Measures that companies need to take to comply with GDPR
Markedsføring, salg, sociale medier eller lignende

Hvis en virksomhed i EU har offentliggjort et websted for at gennemføre salg af sine varer eller tjenester, udføre markedsføring eller lignende eller bruger sociale medier til at kommunikere med potentielle kunder, gælder GDPR for virksomheden.

Ifølge GDPR varierer reglerne afhængigt af formålet med behandlingen, hvem den registrerede er, hvordan behandlingen finder sted i praksis, gennem hvilke kanaler osv. Det er derfor vigtigt at huske på, at der kan gælde specifikke regler og undtagelser. Reglerne er med andre ord ikke de samme, hvis en virksomhed behandler personoplysninger med henblik på markedsføring, eller hvis den gør det i journalistisk øjemed. 

Oplysninger om GDPR

Forskellige roller i GDPR

Det er vigtigt at kende de forskellige roller inden for GDPR, da reglerne varierer mellem rollerne. Det er f.eks. vigtigt at vide, hvem der er dataansvarlig eller databehandler for en behandlingsaktivitet, hvad den databeskyttelsesansvarliges rolle indebærer, og hvilken tilsynsmyndighed der er virksomhedens ledende tilsynsmyndighed. Det er den dataansvarlige, der afgør formålet med behandlingen af personoplysninger. Den enhed, der behandler personoplysninger på vegne af den dataansvarlige og i overensstemmelse med dennes instrukser, er databehandleren. For eksempel et revisionsfirma, der behandler personoplysninger om kundevirksomhedens medarbejdere for at foretage lønudbetalinger til medarbejderne på vegne af kundevirksomheden.

Vil du lære mere?

Læs mere
Scroll to Top