Databeskyttelsesforordningen - GDPR
Information om det grundlæggende i GDPR
Ifølge GDPR er personoplysninger data, der direkte eller indirekte kan knyttes til en fysisk person, der er identificerbar og i live. Hvis en virksomhed behandler personoplysninger, der tilhører enkeltpersoner inden for EU/EØS-området, er de forpligtet til at overholde GDPR. GDPR er en forkortelse af EU’s generelle forordning om databeskyttelse.
Eksempler på almindelige typer personoplysninger:
- Identifikationsdata: Fornavn, efternavn, CPR-nummer, pasnummer, profilbillede.
- Kontaktoplysninger: E-mail-adresse, hjemmeadresse, telefonnummer.
Følsomme personoplysninger i henhold til GDPR
Den generelle regel i databeskyttelsesforordningens artikel 9, stk. 1, tillader ikke behandling af særlige kategorier af personoplysninger, også kendt som “følsomme personoplysninger”. Det kan dog være tilladt i nogle tilfælde.
Bemærk, at kravene er højere ved behandling af følsomme personoplysninger og f.eks. kræver højere sikkerhed ved overførsel og opbevaring. Hvis der er tale om et brud på persondatasikkerheden, der involverer følsomme personoplysninger, er det værre, end hvis personoplysningerne er “almindelige personoplysninger”. Det er vigtigt at tage hensyn til dette i risikovurderingen og i vurderingen af, om det er nødvendigt at anmelde bruddet på persondatasikkerheden til den nationale eller ansvarlige databeskyttelsesmyndighed.
Eksempler på følsomme personoplysninger
- Sundhed
- Etnisk oprindelse
- Politiske synspunkter
- Genetiske eller biometriske data
Straf for behandling af følsomme personoplysninger i strid med GDPR
En virksomhed blev idømt en bøde på 230.000 euro for at behandle følsomme personoplysninger i strid med GDPR. Virksomheden havde opbevaret oplysninger om medarbejdernes helbred i meget lang tid efter ansættelsesforholdets ophør. Desuden havde virksomheden gemt data om medarbejdernes sygefravær sammen med diagnostiske data, som nogle medarbejdere selv oplyste var ukorrekte. Virksomheden havde heller ikke opfyldt sine forpligtelser til at informere medarbejderne om behandlingen af disse følsomme personoplysninger. Derfor fik virksomheden besked på at ændre adfærd. Ud over bøden modtog virksomheden også en irettesættelse.
Personoplysninger, der er følsomme over for privatlivets fred
Ud over de følsomme personoplysninger, der kræver et højere beskyttelsesniveau i henhold til GDPR, er der også andre personoplysninger, der er vigtige og har brug for det. De benævnes almindeligvis “personoplysninger, der er følsomme over for privatlivets fred”. F.eks. bankkontooplysninger, betalingskortoplysninger, oplysninger om en persons sociale forhold og oplysninger om lovovertrædelser.
Uddyb din forståelse af personoplysninger
Definitionen af personoplysninger omfatter også yderligere kompleksitet ud over den, der er beskrevet ovenfor i denne samling. Især når det drejer sig om såkaldte direkte og indirekte personoplysninger. Omvendt identifikation er også et vigtigt aspekt, der kan føre til, at visse data betragtes som personoplysninger i henhold til GDPR. F.eks. registreringsnummeret på et privatejet køretøj.
Principper for databeskyttelse, der skal følges ved behandling af personoplysninger
Der er syv (7) grundlæggende databeskyttelsesprincipper, der gennemsyrer hele GDPR. Virksomheder, der er underlagt GDPR, skal også overholde disse principper i al deres behandling af personoplysninger. Virksomhederne skal forstå principperne, uanset om de er dataansvarlige eller databehandlere, da det er kernen i forordningen. Desuden bør virksomheden altid tage hensyn til dem i sit arbejde med at forbedre sin databeskyttelse. Her kan du læse et kort resumé af de syv (7) grundlæggende databeskyttelsesprincipper, der er reguleret i artikel 5 i GDPR.
Lovlighed
Virksomheder skal have et retsgrundlag for behandling af personoplysninger. F.eks. "opfyldelse af en kontrakt med den registrerede".
Korrekthed
Når virksomheden behandler personoplysninger, skal det være rimeligt i forhold til formålet. Behandlingen skal være rimelig, rimelig, rimelig og forholdsmæssig. Det betyder kort sagt, at behandlingen ikke må stå i misforhold til dens fordele.
Gennemsigtighed
Virksomheder skal informere om behandlingen og være gennemsigtige om, hvad de skal gøre med personoplysningerne. Derudover skal de oplyse om de registreredes rettigheder m.v.
Det Europæiske Databeskyttelsesråds første afgørelse om lovligheden af behandlingen af personoplysninger
Det Europæiske Databeskyttelsesråd blev spurgt, om en stor international virksomhed havde et retsgrundlag for den måde, hvorpå den behandlede børns personoplysninger. Det var den irske databeskyttelsesmyndighed, der anmodede Databeskyttelsesrådet om en præjudiciel afgørelse, da flere af de databeskyttelsesmyndigheder, der var involveret i tilsynet, ikke var enige i den irske databeskyttelsesmyndigheds afgørelse. Den sanktion, som den irske databeskyttelsesmyndighed pålagde efter den præjudicielle afgørelse, var på 405 mio. EUR.
Databeskyttelsesprincip 2: Formålsbegrænsning
Virksomhederne skal altid have et formål med deres behandling af personoplysninger. Det vil sige et svar på, hvorfor personoplysningerne behandles. Desuden skal det være et udtrykkeligt og specifikt formål, der er foreneligt med gældende lovgivning. Uklare formål er normalt ikke gyldige. Det samme gælder, hvis de er for brede, f.eks. “forbedring af brugeroplevelsen”. Vær opmærksom på, at virksomheden skal dokumentere formålet med hver enkelt behandling.
Databeskyttelsesprincip 3: Dataminimering
Det er ikke tilladt at behandle flere personoplysninger end nødvendigt for at opfylde formålet. Derfor skal virksomheden først analysere, hvad formålet med behandlingen er for at vide, hvilke personoplysninger der er nødvendige for at behandle for at opnå det. En virksomhed må ikke behandle personoplysninger til fremtidige behov, som de endnu ikke har fastlagt. Databeskyttelsesforordningen tillader med andre ord ikke behandling af personoplysninger, “bare fordi det kan være godt for fremtiden”.
Databeskyttelsesprincip 4: Nøjagtighed
Virksomhederne skal sikre, at de personoplysninger, de behandler, er korrekte. Derudover skal Selskabet holde personoplysningerne ajour over tid. Hvis personoplysninger er forkerte, skal virksomheden rette dem. Alternativt kan du slette den. Dette skal ske uden unødig forsinkelse. Personoplysninger, der er ufuldstændige, skal også rettes ved at supplere eller slette dem. Vær opmærksom på, at dette er særligt vigtigt, jo vigtigere er personoplysningerne. Konsekvenserne af at behandle ukorrekte personoplysninger kan i nogle tilfælde være ødelæggende. For eksempel, hvis en person modtager en type diagnose, men lægen sker for at registrere den forkerte diagnose i patientregistret.
Databeskyttelsesprincip 5: Minimering af lagring
Det er ikke tilladt at behandle personoplysninger længere end nødvendigt til det formål, hvortil de blev indsamlet. Derudover skal virksomhederne fastsætte en opbevaringsperiode for personoplysningerne. I visse tilfælde kan en virksomhed dog være nødt til at fortsætte behandlingen, selv om den ikke længere er nødvendig til formålet, hvis det kræves ved lov eller forskrift. Virksomhederne skal f.eks. ofte opbevare deres regnskaber i et vist antal år i henhold til den nationale regnskabslovgivning.
Virksomheder, der har behandlet personoplysninger på ubestemt tid
En virksomhed skulle betale en bøde for ikke at have fastsat en opbevaringsperiode. For at få deres personlige data slettet, måtte kunderne slette deres brugerkonto. Hvis kunden ikke gjorde det, fortsatte virksomheden med at behandle kundens personoplysninger på ubestemt tid. Desuden fandt den finske databeskyttelsesmyndighed i sagen, at det ikke var foreneligt med databeskyttelsesforordningen at tvinge folk til at oprette en konto på webstedet for at foretage et køb. Oprettelsen af en brugerkonto i en onlinebutik er frivillig. Det må ikke være et obligatorisk krav at kunne foretage lejlighedsvise indkøb.
Databeskyttelsesprincip 6: Privatliv og fortrolighed
Virksomhederne skal beskytte de personoplysninger, de behandler, ved at træffe passende tekniske og organisatoriske foranstaltninger. Jo vigtigere personoplysningerne er, jo højere er sikkerhedskravene. Eksempler på tekniske sikkerhedsforanstaltninger er kryptering og backup. Eksempler på organisatoriske sikkerhedsforanstaltninger, som virksomheder kan tage, er uddannelse af medarbejdere og udarbejdelse af instruktioner.
Databeskyttelsesprincip 7: Ansvarlighed
Virksomheder skal kunne dokumentere, at de overholder GDPR. Det er derfor ikke en registreret eller en databeskyttelsesmyndighed, der skal bevise det modsatte. Virksomhederne kan f.eks. gøre dette ved at:
Liste over registre
Etablere et register, hvor virksomheden dokumenterer eventuelle brud på persondatasikkerheden, der har fundet sted.
Konsekvensanalyser
Udarbejde en konsekvensanalyse, inden der foretages en konkret behandling, hvor virksomheden bl.a. begrunder og analyserer behandlingen.
Retningslinjer
Etablere skriftlige instruktioner til medarbejdere om, hvordan man arbejder i overensstemmelse med GDPR i praksis. For eksempel en rutine om, hvordan de skal handle i tilfælde af brud på persondatasikkerheden.
Registreredes rettigheder i henhold til GDPR
Registrerede har flere rettigheder i henhold til GDPR. Virksomhederne er ansvarlige for at sikre, at de er i stand til at møde dem. For eksempel ved at etablere interne procedurer for medarbejdere, så de ved, hvordan man håndterer en anmodning korrekt.
Identifikation af registrerede, når de anmoder om opfyldelse af en rettighed
Virksomheder skal kunne identificere personer, der anmoder om at få en rettighed opfyldt i henhold til GDPR. På den måde kan virksomheden minimere risikoen for uautoriseret adgang til personoplysningerne. Hvis virksomheden tvivler på identiteten af den person, der fremsætter anmodningen, kan virksomheden anmode om yderligere oplysninger. For eksempel, hvis en person anmoder om at få deres personlige data slettet fra en anden e-mail-adresse end den, de har registreret i deres brugerkonto hos virksomheden. Bemærk, at det ikke er tilladt at behandle flere personoplysninger end nødvendigt, og at identifikationen skal være forholdsmæssig.
Frister for behandling af anmodninger om opfyldelse af en rettighed
Når en registreret anmoder om at få tildelt en rettighed i henhold til GDPR, skal virksomheden behandle anmodningen så hurtigt som muligt, men senest en måned efter modtagelsen. På den anden side er det i visse tilfælde muligt at forlænge fristen med yderligere to måneder. I sådanne tilfælde skal virksomheden kunne begrunde beslutningen og underrette om den inden for den første måned. En forlængelse kan f.eks. være berettiget, hvis virksomheden har modtaget et usædvanligt antal anmodninger og dermed ikke har tid til at behandle sagen inden for en måned.
Retsgrundlag for lovlig behandling af personoplysninger
Virksomheder skal have et retsgrundlag for behandling af personoplysninger, og der er i alt seks (6) retsgrundlag i GDPR. Medmindre virksomheden har et retsgrundlag, er behandlingen ulovlig. Overtrædelser af GDPR kan have store økonomiske konsekvenser for virksomheden. Nedenfor kan du læse et resumé af de retsgrundlag, der er reguleret i artikel 6 i GDPR.
Retsgrundlag 1: Samtykke
Samtykke betyder, at en person accepterer, at virksomheden behandler deres personoplysninger til et bestemt formål. Samtykket skal være aktivt og frivilligt for at være gyldigt. Desuden bør det være lige så let at trække samtykket tilbage som at give det. Hvis ikke, er samtykket ugyldigt. Bemærk, at virksomheder også skal kunne dokumentere, at de har opnået gyldigt samtykke i tilfælde af tilsyn. Derfor er det bedst at have skriftlige og opdaterede samtykker.
Samtykke er ikke altid passende eller tilladt
Samtykke er et fælles retsgrundlag for virksomheder at bruge, men det er ikke altid tilladt eller hensigtsmæssigt. Det er f.eks. ikke hensigtsmæssigt, når der er et ulige magtforhold mellem parterne, f.eks. mellem en arbejdsgiver og en arbejdstager. I dette tilfælde anvendes kontrakter med en registreret person (ansættelseskontrakter) normalt som retsgrundlag. Det er heller ikke et krav at indhente samtykke til behandling af personoplysninger, som nogle mener.
Onlineplatforme med samtykke- eller betalingsmodeller opfylder ikke altid kravene til gyldigt samtykke under Det Europæiske Databeskyttelsesråd
Det Europæiske Databeskyttelsesråd tog stilling til, om de såkaldte "samtykke- eller betalingsmodeller" opfylder kravene til gyldige samtykker i overensstemmelse med GDPR. Med andre ord målretter en virksomhed adfærdsmæssig markedsføring til registrerede, der ikke betaler for en tjeneste. Ifølge Databeskyttelsesrådet bør virksomheder have et gratis alternativ, men uden målrettet markedsføring.
Retsgrundlag 2: Kontrakter med registrerede
Virksomheder kan behandle personoplysninger, der er nødvendige for indgåelse eller opfyldelse af en kontrakt med den registrerede. Retsgrundlaget er derefter “aftaler med registrerede”. Virksomheden må dog ikke behandle flere personoplysninger end nødvendigt for indgåelse eller opfyldelse af kontrakten. Hvis virksomheden f.eks. ønsker at behandle personoplysninger for at analysere kundeadfærd, har virksomheden brug for et andet retsgrundlag til dette formål, f.eks. samtykke.
Et praktisk eksempel på, hvor det er relevant, retsgrundlaget “aftaler med registrerede” er, når en virksomhed deltager i en e-handelsaktivitet. For at virksomheden skal kunne sende produkterne til kunderne, skal de behandle personoplysninger som f.eks. kundens navn og hjemmeadresse.
Retsgrundlag 3: Retlig forpligtelse
Når en virksomhed er forpligtet til at behandle personoplysninger i henhold til anden lovgivning eller regulering, er retsgrundlaget for behandlingen “retlig forpligtelse”. Virksomheden skal f.eks. opbevare kvitteringer og andre regnskabsoplysninger i et vist antal år i henhold til den nationale regnskabslovgivning. Den registrerede bør forstå, hvorfor virksomheden skal foretage behandlingen, og det er derfor vigtigt at være klar, når der informeres.
Retsgrundlag 4: Beskyttelse af grundlæggende interesser
Behandling af personoplysninger på grundlag af retsgrundlaget “Beskyttelse af grundlæggende interesser” er ikke almindelig for de fleste virksomheder. Det må kun anvendes, når behandling er nødvendig for at redde liv. Desuden er det ikke tilladt at anvende dette retsgrundlag, hvis den pågældende registrerede er bekendt med og kan træffe sin egen beslutning om f.eks. at give samtykke.
På den anden side er det mere almindeligt i sundhedsberedskabet at støtte behandlingen af personoplysninger på dette retsgrundlag. For eksempel, hvis en person efterlades bevidstløs på hospitalet og mister store mængder blod, og hospitalet har brug for at vide, hvilken blodgruppe personen har for at redde deres liv.
Retsgrundlag 5: Udøvelse af offentlig myndighed og udførelse af opgaver i offentlighedens interesse
Retsgrundlaget “udøvelse af offentlig myndighed og opgaver i samfundets interesse” betyder, at det er tilladt at behandle personoplysninger som led i udøvelsen af offentlig myndighed, eller hvis det sker i samfundets interesse. Hvis staten giver en aktør mandat til at træffe afgørelse om borgere, er “udøvelse af offentlig myndighed” det rette retsgrundlag. Det er et retsgrundlag, der primært kan anvendes af offentlige myndigheder, men også af visse private aktører såsom skoler og sundhedspleje.
Der skal være støtte i en lov, forvaltning eller lignende for at få lov til at støtte en behandling på grundlag af oplysninger af offentlig interesse. F.eks. når en skole eller et hospital behandler personoplysninger.
Retsgrundlag 6: Legitim interesse
Virksomheder kan foretage en afvejning af interesser før en behandling og konkludere, at de har en legitim interesse i behandlingen. Med andre ord vejer deres interesse i behandling tungere end de registreredes interesse. Desuden skal behandlingen være nødvendig i forhold til formålet med behandlingen. En interesseafvejning skal dokumenteres skriftligt. Her er to eksempler på, hvornår det er almindeligt at anvende “legitim interesse” som retsgrundlag:
Direkte markedsføring:
Når en virksomhed udfører direkte markedsføring, såsom at sende e-mails til registrerede med reklame. Bemærk venligst, at selskabet straks skal ophøre med behandlingen af e-mail-adressen til dette formål, hvis den registrerede anmoder herom.
Sikkerhed for medarbejderne
Det kan være nødvendigt for en arbejdsgiver at behandle visse typer personoplysninger for at sikre medarbejdernes sikkerhed og anses for at have en legitim interesse i at gøre det.
Resumé af de otte (8) grundlæggende rettigheder, som registrerede har i henhold til GDPR
Ret til information
Virksomhederne underretter de registrerede om behandlingen af deres personoplysninger. Dette skal helst ske i samarbejde med den virksomhed, der indsamler personoplysningerne. Oplysningerne gives desuden efter anmodning fra den registrerede. Oplysningerne skal være letforståelige og gratis. Desuden er der andre tilfælde, hvor virksomheder skal informere de registrerede om behandlingen, f.eks. i tilfælde af visse typer brud på persondatasikkerheden, eller hvis behandlingen ændres.
Ret til indsigt
Hvis en registreret ønsker at vide, om en virksomhed behandler personoplysninger om vedkommende, kan vedkommende kontakte virksomheden. I sådanne tilfælde skal virksomheden give oplysninger om behandlingen, såsom hvilke personoplysninger de behandler, formålet, opbevaringsperioden, og hvor de har indsamlet dem fra. Derudover skal Selskabet udlevere en kopi af de behandlede personoplysninger. Bemærk venligst, at der er undtagelser fra retten til adgang. I nogle tilfælde kan virksomheder afvise en anmodning om adgang til de behandlede personoplysninger. Hvis det f.eks. kan være til ulempe for andre registrerede.
Ret til berigtigelse
Hvis en registreret mener, at personoplysninger om ham/hende, som en virksomhed behandler, er ukorrekte eller ufuldstændige, kan han/hun bede virksomheden om at rette dem. Korrektionen foretages uden unødig forsinkelse. Selskabet skal også underrette modtagerne af de pågældende personoplysninger om berigtigelsen. Dette gælder, hvis det er muligt og ikke for besværligt for virksomheden. Derudover har den registrerede ret til information om, hvem modtagerne er.
Ret til sletning
Virksomheder skal slette personoplysninger, når de ikke længere er nødvendige til det formål, hvortil de blev indsamlet. Desuden skal de slette personoplysninger efter anmodning fra en registreret. Der er dog undtagelser. For eksempel kan en virksomhed have en forpligtelse til at behandle visse personoplysninger i overensstemmelse med anden lovgivning. I sådanne tilfælde må de ikke slette personoplysningerne, selv om den registrerede anmoder herom. Hvis virksomheden sletter personoplysninger efter anmodning fra den registrerede, underretter virksomheden modtagerne af de pågældende personoplysninger om sletningen. Dette gælder, hvis det er muligt og ikke for besværligt for virksomheden. Derudover har den registrerede ret til information om, hvem modtagerne er.
Ret til begrænsning af behandling
I visse tilfælde har den registrerede ret til at begrænse behandlingen af sine personoplysninger. For eksempel, hvis en person informerer en virksomhed om, at personoplysningerne er forkerte og ønsker at få behandlingen begrænset, indtil virksomheden har undersøgt, om de er korrekte eller ej. Når begrænsningen ophører, underretter virksomheden den registrerede herom.
Ret til indsigelse
Hvis en virksomhed behandler personoplysninger på grundlag af retsgrundlagets legitime interesse, har de registrerede ret til at gøre indsigelse mod behandlingen. Det samme gælder, hvis formålet er at udføre en opgave i samfundets interesse under udøvelse af offentlig myndighed. Virksomheden kan kun fortsætte behandlingen, hvis retsgrundlaget er legitim interesse, hvis de konkluderer, at deres interesse stadig er fremherskende, efter at de har afbalanceret deres interesser. Vær opmærksom på, at de skal kunne begrunde afgørelsen.
Ret til dataportabilitet
I visse tilfælde kan en registreret have ret til at få sine personoplysninger overført til en anden dataansvarlig. Hvis personen f.eks. opretter en konto på en social medietjeneste og ønsker at bruge de samme data til at oprette en konto på en anden lignende tjeneste. Virksomhederne skal lette overførslen af personoplysninger. Registrerede kan dog kun have ret til dataportabilitet, hvis retsgrundlaget for behandlingen er samtykke eller en kontrakt med den registrerede, og hvis dette er teknisk muligt.
Automatiserede afgørelser
Hvis en automatiseret afgørelse kan have alvorlige konsekvenser for en registreret, såsom juridiske konsekvenser, har personen ret til ikke at være genstand for en sådan automatiseret afgørelse. For eksempel, hvis en person er på udkig efter et job og nægtes uden at have haft personlig kontakt, fordi det blev gjort gennem en automatisk e-rekruttering.
- Situationer, hvor automatiserede afgørelser kan tillades
- Udtrykkeligt samtykke: Hvis virksomheden modtager udtrykkeligt samtykke fra den registrerede.
- Opfyldelse af en kontrakt: Hvis virksomheden skal gøre det for at indgå eller opfylde en kontrakt.
Praktiske eksempler
En virksomhed gav ukorrekte oplysninger om, at personoplysninger var blevet slettet efter anmodning fra en registreret
Ud over at virksomheden ikke havde slettet personoplysninger efter anmodning uden unødig forsinkelse, gav de også de forkerte oplysninger om, at de faktisk havde slettet dem. Virksomheden sagde, at de ikke forstod, at det var en anmodning om at slette personoplysningerne, men den svenske databeskyttelsesmyndighed mente det modsatte. De fandt det klart og konkluderede, at virksomheden derfor ikke havde opfyldt sine forpligtelser i henhold til GDPR. Resultatet for virksomheden var en irettesættelse.
Den opfyldte bl.a. ikke kravet om gennemsigtighed med hensyn til dataportabilitet.
Den svenske databeskyttelsesmyndighed fandt, at en virksomhed havde overtrådt flere regler i GDPR. Bl.a. ved at have givet utilstrækkelige oplysninger om de registreredes rettigheder. En af disse rettigheder var retten til dataportabilitet. Virksomheder fik en bøde på 7,5 millioner svenske kroner for deres brud på GDPR.
Overtrædelser/sanktioner/konsekvenser
Hvis en virksomhed ikke overholder GDPR, kan det have store økonomiske konsekvenser. I værste fald kan de blive nødt til at betale bøder på flere millioner dollars. Det maksimale sanktionsbeløb for alvorlige overtrædelser kan være 20 mio. EUR eller 4 % af den årlige omsætning (den højeste af mulighederne). Nogle virksomheder har måttet betale bøder på flere hundrede millioner euro.
Bemærk venligst, at de registrerede ikke må deltage i bøden, da det er en bøde, der betales til staten. Registrerede kan dog i nogle tilfælde kræve erstatning, men så skal de anlægge en særskilt sag i deres egen retssag. Det er med andre ord ikke noget, som tilsynsmyndigheden for databeskyttelse anmoder om ved en domstol.
Domstolens holdning
Den Europæiske Unions Domstol afsagde dom om ansvar for brud på persondatasikkerheden, der ville føre til fremtidigt misbrug af personoplysningerne. De bemærkede, at registrerede kan have ret til erstatning i tilfælde af en begrundet frygt for fremtidigt misbrug af personoplysninger.
Mere om GDPR
Foranstaltninger, som virksomheder kan være nødt til at træffe i henhold til GDPR
GDPR kræver blandt andet, at virksomheder skal kunne vise, at de overholder GDPR, opfylder de registreredes rettigheder, beskytter de personoplysninger, de behandler mv. Jo vigtigere personoplysningerne er, jo højere er sikkerhedskravene. Eksempler på foranstaltninger omfatter udarbejdelse af nødvendige GDPR-relaterede aftaler og dokumenter. F.eks. en meddelelse om beskyttelse af privatlivets fred og dokumentation af gennemførte konsekvensanalyser. Vær opmærksom på, at de økonomiske konsekvenser for virksomheder, der overtræder GDPR, kan være ødelæggende for virksomheden.