GDPR Learning Hub

Menu
  • Tag quizzer
  • Download vejledninger
  • Køb kurser
  • Køb skabeloner
  • GDPR-kurser er under opbygning

Personlige oplysninger - GDPR

Personoplysningers livscyklus

For at forstå betydningen af EU’s generelle forordning om databeskyttelse (GDPR) er det nyttigt at forstå personoplysningers livscyklus. Alle virksomheder, der behandler personoplysninger, der tilhører enkeltpersoner inden for EU/EØS-området, er underlagt GDPR, uanset hvor virksomheden er etableret. GDPR er en EU-forordning, der trådte i kraft i 2018. 

Hvad er personoplysninger?

Når det er muligt at knytte en opgave til en fysisk levende person, er den pågældende opgave personoplysninger. Forbindelsen til den fysiske person kan være enten direkte eller indirekte. Et eksempel på direkte personoplysninger er et navn, og indirekte personoplysninger er registreringsnummeret på en privatejet bil, og billeder, videoer og lydoptagelser kan også være personoplysninger. 

Hvad er privatlivsfølsomme personoplysninger i henhold til GDPR?

Der er fire grupper af personoplysninger, der er følsomme over for privatlivets fred, i GDPR, hvoraf den ene udgør følsomme personoplysninger. De personoplysninger, der er følsomme over for privatlivets fred, udgør vigtigere personoplysninger end f.eks. et fornavn. Det betyder, at personoplysninger, der er følsomme over for privatlivets fred, skal behandles med større sikkerhed. Derudover kan den kræve, at virksomheden foretager en konsekvensanalyse, inden behandlingen påbegyndes, for at se, om behandlingen er tilladt eller ej.

What breaches of the GDPR can lead to an administrative fine?

Forbud mod behandling af følsomme personoplysninger i henhold til den generelle regel

Behandling af følsomme personoplysninger er ikke tilladt i henhold til den generelle regel i databeskyttelsesforordningens artikel 9. Der er dog visse undtagelser fra den generelle regel. Eksempler på følsomme personoplysninger er data, der afslører oplysninger om en persons religiøse overbevisning, politiske holdninger eller medlemskab af foreninger. 

Er data om en persons sundhedsfølsomme personoplysninger?

Ja, oplysninger om en persons helbred er følsomme personoplysninger. Dette er dog en af de mest almindelige følsomme personoplysninger, som virksomheder behandler. Arbejdsgivere behandler f.eks. oplysninger om ansattes sygefravær med henblik på at beregne en nøjagtig løn og opfylde deres rapporteringsforpligtelser over for de relevante myndigheder. Virksomheden bør dog ikke sende en lønseddel med ukrypteret e-mail, hvis specifikationen indeholder oplysninger om sygefravær, da det ikke er tilstrækkeligt sikkert. 

Tre trin i personoplysningers livscyklus

Der er tre vigtige trin i personoplysningers livscyklus, som er beskrevet nedenfor. 

Trin 1: Virksomheden får adgang til personoplysningerne

Det første, der sker i personoplysningernes livscyklus, er, at virksomheden indsamler personoplysningerne. Indsamlingen skal ske i overensstemmelse med reglerne i GDPR for at være lovlig og tilladt. Det betyder blandt andet, at virksomheden skal: 

  • Har et retsgrundlag for behandling af personoplysninger: Enhver behandling af personoplysninger skal udføres på grundlag af et retsgrundlag for at være lovlig. Der er i alt seks (6) retsgrundlag at vælge imellem i GDPR. Blandt andet samtykke, aftaler med registrerede, legitim interesse. 
  • Informere den registrerede om behandlingen af personoplysningerne: Desuden skal virksomhederne informere de registrerede om behandlingen af deres personoplysninger. Hvis personoplysningerne indsamles direkte fra den registrerede, skal oplysningerne om behandlingen gives på indsamlingstidspunktet. Det retsgrundlag, som virksomheden anvender, behandlingens varighed, de registreredes rettigheder osv. Oplysningerne bør fremgå af en skriftlig meddelelse om beskyttelse af personoplysninger, der fremlægges inden indsamlingen. 

Trin 2: Virksomheden behandler personoplysningerne

Der er meget, som virksomheder skal tænke på, når de behandler personoplysninger, dvs. inden for trin to i personoplysningernes livscyklus. Virksomheden har blandt andet brug for: 

Beskyttelse af personoplysninger

Virksomheden skal beskytte de personoplysninger, der behandles. Jo vigtigere personoplysningerne er, jo højere er sikkerhedskravene. For at beskytte personoplysningerne skal virksomheden træffe passende organisatoriske og tekniske sikkerhedsforanstaltninger. For eksempel ved at implementere antivirusbeskyttelse, tage sikkerhedskopier, kontrollere adgangstilladelser og skabe en god sikkerhedskultur i din organisation.

Er i stand til at opfylde de registreredes rettigheder

Registrerede har en række rettigheder i henhold til GDPR, som virksomheder skal kunne opfylde efter anmodning. Desuden skal der træffes foranstaltninger inden for en bestemt frist, normalt inden for en måned efter modtagelsen af anmodningen. Virksomheden skal derfor først vide, hvilke rettigheder de registrerede har, og derefter informere de registrerede om dem og være i stand til at opfylde dem i praksis. Derfor er det godt for virksomhederne at skabe interne rutiner omkring dette.

Udarbejdelse af relevante dokumenter og aftaler

GDPR kræver, at virksomheder skal kunne påvise, at de overholder GDPR i praksis. Det betyder blandt andet, at virksomheden skal have relevante GDPR-relaterede aftaler og dokumenter. For eksempel skriftlige interne procedurer for, hvordan medarbejdere skal handle i tilfælde af brud på persondatasikkerheden. Derudover skal virksomheden indgå skriftlige databehandleraftaler ved ansættelse af databehandlere. Virksomhederne kan også være nødt til at dokumentere konsekvensanalyser for visse behandlingstyper mv. De dokumenter og aftaler, som virksomhederne skal have, afhænger af flere faktorer, f.eks. hvilke behandlinger virksomheden udfører, behandlingernes omfang mv.

Udpege roller og uddanne personale

Personalet håndterer personoplysninger i virksomheden og har derfor brug for at vide, hvordan man gør det i overensstemmelse med GDPR. Det er dog altid organisationen selv, der bærer ansvaret for personoplysningerne, ikke personalet. Derudover kan det være hensigtsmæssigt at udpege roller i virksomheden. For eksempel, hvis det er en stor virksomhed med mange afdelinger, kan det være nyttigt at udpege nogle databeskyttelsesambassadører. Nogle virksomheder skal også udpege en databeskyttelsesansvarlig.

Trin 3: Afslutning af behandling af personoplysninger

Virksomheder må ikke behandle personoplysninger på ubestemt tid. Hovedreglen er, at virksomheder skal slette eller anonymisere personoplysningerne, når de ikke længere er nødvendige for at behandle til det formål, hvortil de blev indsamlet. 

Undtagelser fra den generelle regel om længere oplagringsperioder

Der er dog undtagelser fra den generelle regel, som giver mulighed for længere opbevaringsperioder for personoplysninger. I nogle tilfælde kan der være krav om, at virksomheder skal fortsætte med at behandle personoplysninger i en vis periode i henhold til lovgivningen, selvom de ikke har brug for personoplysningerne til noget andet. For eksempel skal virksomheder gemme faktureringsoplysninger og kvitteringer i en vis periode. Det er tilladt, og retsgrundlaget for behandlingen i sådanne tilfælde er en juridisk forpligtelse. 

Eksempler på flere situationer, hvor personoplysninger vil blive slettet

Den registreredes anmodning om sletning af personoplysninger: Den registrerede har ret til at få sine personoplysninger slettet efter anmodning (også kaldet “retten til at blive glemt”). Sletningen skal finde sted uden unødig forsinkelse, men senest inden for en måned. Der er dog undtagelser fra denne ret:

    • For eksempel kan det være tilladt for virksomheden at fortsætte behandlingen af personoplysningerne, selvom de modtager en anmodning om sletning, hvis behandlingen udføres for at overholde en retlig forpligtelse, der påhviler virksomheden. 
    • Undtagelser gælder også, hvis virksomheden har brug for at behandle personoplysningerne for at forsvare eller etablere juridiske krav.  

Virksomheder bør oprette interne procedurer for medarbejdere vedrørende sletning af personoplysninger

For at virksomheden kan sikre korrekt sletning af personoplysninger, når det ikke længere er nødvendigt, eller i tilfælde af en anmodning om sletning, er det godt at oprette skriftlige interne procedurer. 

Virksomheden skal informere sine medarbejdere om, hvordan sletningen udføres korrekt. Dette kan f.eks. gøres ved at samle oplysningerne i skriftlige interne procedurer. Derudover er det godt, hvis rutinen indeholder oplysninger om f.eks. specifikke datoer hvert år vedrørende det tidspunkt, hvor alle medarbejdere skal slette personoplysninger fra forskellige lagringssider.

Læs mere om GDPR

Personoplysninger kan være subjektive eller objektive

Når en person tænker på, hvad personoplysninger er, tænker de normalt på objektive personoplysninger. For eksempel et navn, CPR-nummer eller telefonnummer. Med andre ord er personoplysninger af objektiv karakter normalt noget, der kan identificeres af en person. Det er dog også vigtigt at vide, at der er personoplysninger, der er af subjektiv karakter. 

Vil du lære mere?

Læs mere
Scroll to Top