Databehandling og GDPR

GDPR og Databeskyttelsesloven stiller høje krav til behandling af persondata, og hvordan I dokumenterer jeres behandling. Derfor er det vigtigt at vide, hvad persondata er, og hvordan de behandles korrekt.

I denne artikel går vi i dybden med databehandling og giver dig svar på:

  • Hvilke data er der særlige krav til?
  • Hvad er databehandling i GDPR-sammenhæng?
  • Hvordan behandler man personoplysninger?
  • Hvad indeholder en databehandleraftale?
  • Hvad er forskellen på en databehandler og en dataansvarlig?
Data processing image 1

Hvilke data er der særlige krav til?

Data er, i denne sammenhæng, defineret som formaliserede oplysninger, der typisk behandles af en maskine eller computer.

De fleste virksomheder og organisationer skal behandle eller håndtere en eller anden form for data. Disse vil ofte være persondata.

I EU-lovgivning defineres persondata som: “enhver information, der kan relateres til en identificeret person, eller data der direkte eller indirekte kan identificere en person.“

Processing personal data illustration

Persondata kan inddeles i tre forskellige kategorier:

Ifølge GDPR (General Data Protection Regulation, eller Databeskyttelsesforordningen) skal persondata behandles og håndteres særligt varsomt. Jo mere fortrolige eller private oplysningerne er, desto flere regler skal I overholde ved databehandling.

Vil du vide mere om sikker håndtering af persondata, kan du læse vores artikel om datasikkerhed.

Hvad er databehandling i GDPR-sammenhæng?

Databehandling er alle aktiviteter, hvor personoplysninger eller -data indsamles, registreres, opbevares, analyseres, videregives, slettes, sælges m.m. Begrebet er så bredt defineret, at det oftest betragtes som databehandling det øjeblik, du er i kontakt med personoplysninger.

Data processing touchpoints illustration

Et konkret eksempel kunne være, når virksomheder har brug for at verificere om et oplyst navn tilhører personen, der angiver det. Dette er blandt andet nødvendigt for at leve op til KYC i hvidvaskloven. Her kan man blandt andet trække på datakilder fra en autoritet, der kan bekræfte ægtheden af oplysninger. Det kan for eksempel gøres ved at kontrollere et pas eller kørekort. NemID er også en ofte anvendt verifikationsmetode i Danmark, omend NemID alene fortæller, at en person har adgang til nogle oplysninger (brugernavn, personlig kode og et nøglekort).

Al behandling af data skal ske i overensstemmelse med Databeskyttelsesloven. Det er den lov, der implementerer Databeskyttelsesforordningen (GDPR) i dansk lovgivning.

Er der forskel mellem databehandling og datahåndtering?

Databehandling og datahåndtering bruges ofte udskifteligt.

Man kan dog godt sige, at databehandling er en overordnet betegnelse for datahåndtering og dataudnyttelse.

Datahåndtering kan altså ses som en næsten passiv eller ikke-forandrende behandling af data, hvorimod man ved dataudnyttelse gør noget med den data – ved at analysere, slette eller på anden vis ændre den.

Hvordan behandler man personoplysninger korrekt?

For at behandle personoplysninger korrekt kræver det:

Et lovligt behandlingsgrundlag er en forudsætning for at behandle persondata. Behandlingsgrundlaget afhænger af, om det er almindelige eller følsomme personoplysninger, der skal behandles.

Der skal altid være samtykke fra personen, hvis persondata I behandler. Det skal opfylde en række betingelser: Det skal være frivilligt, afgrænset eller specifikt, informeret og utvetydigt. Det skal desuden kunne dokumenteres og verificeres, at I har indsamlet samtykket korrekt.

Der er undtagelser for, hvornår virksomheder ikke behøver at indsamle samtykke. Det kan være, hvis det er nødvendigt af hensyn til en kontrakt med personen, eller når der er en legitim interesse fra den dataansvarlige, medmindre det overgås af personens interesse i, at behandlingen ikke udføres.

Du kan læse mere dybdegående om samtykke i Datatilsynets vejledning fra 2019.

Som det tredje skal virksomheder have en databehandleraftale. Det er en kontrakt, der instruerer den ansvarlige databehandler i, hvordan oplysningerne skal behandles. Denne aftale indgås mellem den dataansvarlige og databehandleren.

Hvad indeholder en databehandleraftale?

En databehandleraftale skal give instrukser til databehandleren i, hvordan oplysningerne skal håndteres og behandles. Det er en bindende kontrakt, som skal være skriftlig og opbevares elektronisk.

Data processing contract illustration

Formålet med aftalen er at sikre, at persondata bliver håndteret ansvarligt og sikkert. Det er også vigtigt, at aftalen stiller krav til, at den dataansvarlige får besked, hvis der er mistanke om misbrug eller sikkerhedsbrud. Hvis jeres virksomhed er databehandler, er det altså jeres ansvar at informere den dataansvarlige om mistanke om misbrug eller sikkerhedsbrud.

Som led i instruksen skal databehandleren også årligt eller efter aftale redegøre for, at de overholder og følger lovgivningen. Det kan blandt gøres gennem en revisionsrapport, der efterses af en ekstern revisor.

Datatilsynet har udarbejdet en skabelon til databehandleraftaler. Du finder dem nederst på siden.

Hvad er forskellen på en dataansvarlig og en databehandler?

Den dataansvarlige og databehandleren er ikke den samme.

Data processor and data manager illustration

Den dataansvarlige er den part, der afgør hvilken data, der må behandles, til hvilket formål og med hvilke værktøjer. Den dataansvarlige lægger altså grundreglerne for, hvordan den pågældende data skal behandles.

Databehandleren er derimod den part, der udfører selve behandlingen på vegne af den dataansvarlige.

Det er vigtigt at adskille de to roller, fordi kravene til de to er forskellige. Den ene part, den dataansvarlige, sørger for, at Databeskyttelsesloven og GDPR overholdes, og den anden part, databehandleren, påtager sig ansvar for at handle efter de givne instruktioner.

Lettere databehandling med NewBanking Identity

Med NewBanking Identity kan du nemt finde frem til informationer om kunder gennem en simpel søgning. Og persondata slettes og arkiveres, når et kundeforhold afsluttes.

Vi sørger for, at GDPR og Databeskyttelsesloven overholdes og gør det let at behandle data ved:

Onboarding

Onboard dine kunder digitalt på en sikker kanal.

Validering

Opstil jeres egne krav til validering af oplysninger.

Dokumentation

Fuldt revisionsspor over foretagede handlinger og samtykke til behandling.