Dette skal du vide om persondataloven og GDPR

Persondataloven, Persondataforordningen og Databeskyttelsesloven - hvad er forskellen?

Det kan være svært at finde rundt i alle de forskellige navne på lovgivning om persondata.

Faktisk er Databeskyttelsesforordningen, Persondataforordningen og GDPR (General Data Protection Regulation) alle udtryk for den selvsamme forordning, som er udstedt af EU. Den trådte i kraft i 2018, hvorefter hvert medlemsland skulle implementere den i sin egen lovgivning.

Forordningens officielle navn er:

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF

I Danmark blev forordningen, og lovgivningen vedrørende GDPR, implementeret som en del af Databeskyttelsesloven. Den blev vedtaget i foråret 2018. I denne forbindelse blev Persondataloven erstattet.

Mange tror stadig, at Persondataloven er den gældende lov på området, men det er ikke længere korrekt.

Tilsyn

I Danmark er det Datatilsynet, der fører tilsyn med, at virksomheder, myndigheder og andre typer af organisationer overholder reglerne i Databeskyttelsesloven.

Hvilke virksomheder er omfattet af persondataforordningen?

Persondataforordningen (og i Danmark, databeskyttelsesloven, samt tidligere Persondataloven) finder anvendelse på næsten al behandling af personoplysninger, dvs. al behandling af data der kan identificere en given person.

Læs mere om definitionen af personoplysninger og de forskellige typer.

Da lovgivning ofte er geografisk afgrænset, betyder det, at databeskyttelsesforordningen, persondataforordningen og GDPR, der alle er implementeret som en del af Databeskyttelsesloven gælder:

Når dataansvarlig eller databehandler er etableret i EU uafhængigt af, om behandlingen finder sted i eller uden for EU.
Hvor den registrerede befinder sig i EU, uafhængigt af dataansvarlig og/eller databehandlers opholdssted.
Hvor behandlingen af persondata vedrører enten udbud af en vare til en person eller virksomhed, som befinder sig i Danmark, eller overvågning af en type af adfærd som finder sted inden for Danmark.

Kort sagt er næsten alle virksomheder med en eller anden form for tilknytning til EU, hvad enten det er deres egen tilknytning eller deres kunders, underlagt kravene i henhold til GDPR loven og forordningen.

Hvad er en dataansvarlig og en databehandler?

Og hvad er forskellen?

I Persondataforordningen skelner man grundlæggende mellem to forskellige roller, som på hver sin måde behandler personoplysninger.

Man kan enten være databehandler eller dataansvarlig.

Data Manager and Data Processor illustration

Der stilles forskellige krav til de to typer. Det er derfor vigtigt, at I som virksomhed ved, hvilken af de to I kategoriseres som, inden I begynder at behandle personoplysninger.

Dataansvarlig

Den dataansvarlige er den, der definerer med hvilket formål og med hvilke hjælpemidler, personoplysninger behandles. Som dataansvarlig er man forpligtet til at sikre sig:

at man har en gyldig hjemmel for at kunne behandle de givne persondata
at man er i stand til at give indsigt til registrerede parter
at man registrerer brud på persondatasikkerheden, og herunder GDPR loven, til Datatilsynet.

Databehandler

Som databehandler behandler man udelukkende persondata på vegne af den dataansvarlige. Man har altså ingen indflydelse på formålet eller hvilke hjælpemidler, der bruges.

En databehandler kan eksempelvis være en udbyder af IT-services, hvor data opbevares på servere, eller en anden form for udbyder af en automatiseret behandling af persondata, hvor udbyderen ikke selv har indflydelse på data.

Netop fordi relationen mellem dataansvarlig og databehandler indeholder udvekslingen af persondata, er det vigtigt, at der er en databehandleraftale, som fastsætter den præcise relation mellem de to. En skabelon på en sådan databehandleraftale kan findes på Datatilsynets hjemmeside.

Hvad er en Data Protection Officer (DPO)?

En tredje rolle er en DPO: Data Protection Officer eller databeskyttelsesrådgiver. Du er måske stødt på begrebet før, men hvad betyder det? Og bør din virksomhed have en DPO?

DPO’ens rolle at rådgive om kravene i henhold til GDPR loven og dennes regler (Databeskyttelsesloven) og vejlede dataansvarlig i, hvordan de kan følge disse krav. Det er dog vigtigt at understrege, at DPO’en ikke er ansvarlig for, at virksomheden efterlever hverken anbefalingerne eller loven.

Offentlige myndigheder og organer skal, uanset om de er dataansvarlige eller databehandlere, udpege en DPO. Private virksomheder er kun forpligtede til at gøre det, hvis følgende tre betingelser alle er opfyldt:

Behandling af personoplysninger er en kerneaktivitet
Personoplysninger behandles i et stort omfang
Behandlingen består i regelmæssig og systematisk overvågning eller vedrører følsomme oplysninger eller oplysninger om strafbare forhold.

Hvornår er behandling af personoplysninger så en kerneaktivitet?

De fleste organisationer udfører en eller anden form for behandling af personoplysninger (tidligere jævnfør Persondataloven), men der skelnes altså mellem biaktiviteter og kerneaktiviteter.

Biaktiviteter kan generelt siges at være aktiviteter, som understøtter kerneaktiviteten. Eksempelvis har de fleste virksomheder en vis omgang med persondata i forbindelse med medarbejderdata og persondata relateret til salg og forskellige typer af support. Dette er, hvad der kan forstås som biaktiviteter.

Ifølge Datatilsynet er en behandlingen af persondata en kerneaktivitet, hvis det, som virksomheden ønsker at sælge, er uløseligt forbundet med behandling af personoplysninger. Det kunne f.eks. være:

Forsikringsselskaber, hvis produkt skræddersys på baggrund af af persondata
Udbydere af marketingundersøgelser
Søgemaskiner
Virksomheder beskæftiget med headhunting

Disse er alle eksempler på virksomhedsaktiviteter, som er centreret omkring behandlingen af persondata, og hvor outputtet afhænger af den persondata, der bliver afgivet. Næsten alle virksomheder er altså, på den ene eller anden måde, omfattet af GDPR.

Sådan lever du op til Databeskyttelsesloven (GDPR)

Databeskyttelsesloven, der indbefatter reglerne i GDPR loven, kræver en risikobaseret tilgang i lighed med f.eks. Hvidvaskloven.

En risikobaseret tilgang betyder, at uanset om virksomheden er databehandler eller dataansvarlig, så skal der foretages en vurdering af de typer af data, virksomheden opbevarer eller behandler – og derefter sikre, at de organisatoriske og tekniske foranstaltninger er i overensstemmelse med de vurderede risici.

Tekniske foranstaltninger	Organisatoriske foranstaltninger
Eksempelvis stærke firewalls, løbende opdateringer af koder og systemer, kryptering og en stærk IT-infrastruktur.	Eksempelvis beskrevne procedurer angående hvilke medarbejdere der må tilgå hvilke persondata, adgangstilladelser, sikkerhedskurser og uddannelse af medarbejdere.

For at leve op til Databeskyttelsesloven, og herunder den gældende GDPR lov, skal virksomheden have styr på:

En risikovurdering
Politikker og forretningsgange
Kontroller og dokumentation

Læs mere om disse nedenfor.

Hvordan laver man så en risikovurdering?

I risikovurderingen vil man typisk starte med at vurdere:

Hvilken type data, virksomheden opbevarer (der er eksempelvis forskel på, om man opbevarer e-mail-adresser, eller om man har kopier af pas liggende)
Konsekvensen, hvis data lækkes (for eksempelvis phishing, hacking eller at man internt i organisationen fejlagtigt udsender materiale indeholdende persondata)
De foranstaltninger, man allerede har taget i brug for at minimere ovenstående risici

På baggrund af disse faktorer kan man vurdere, om man finder risikoen acceptabel, eller om man bør iværksætte nye foranstaltninger for at nedbringe risikoen for datalæk.

Det er også et krav, at man skal kunne redegøre for ens overvejelser i forhold til ovenstående.

Politikker

De fleste virksomheder har fastlagte arbejdsprocesser, som ensarter og systematiserer arbejdet. På samme måde er det en god ide at have fastlagte politikker og arbejdsprocesser for håndteringen af persondata.

Typisk vil man opdele persondatapolitikken alt efter, om den omhandler persondata på medarbejdere eller kunder. En persondatapolitik for kunder ville f.eks. kunne indeholde følgende punkter:

En afklaring af, hvorvidt I agerer som databehandler eller dataansvarlig.
Hvor persondata er placeret – om det er internt eller eksternt? Og hvis det er placeret udenfor EU/EØS, hvad I så har gjort for at sikre et tilstrækkeligt beskyttelsesniveau?
Hvorvidt I har en DPO ansat. Og i så fald hvad DPO’ens opgaver er, og hvordan I har sikret DPO’ens placering i organisationen.
Hvad jeres grundlag er for at opbevare data, altså afklaring af lovhjemmel og legitimitet.
Hvad jeres slettepolitik er, og hvor længe I opbevarer data efter endt kundeforhold. Og hvad jeres lovhjemmel er for dette.
Eventuelt hvilke tekniske og organisatoriske sikkerhedsforanstaltninger I har for at sikre jer imod sikkerhedsbrud, samt hvordan I vil håndtere et eventuelt brud.

Forretningsgange

En forretningsgang er et internt dokument, som skriftligt vil understøtte de arbejdsprocesser, man har vedtaget. En forretningsgang er ofte relativt detaljeret og vil med hensyn til persondata eksempelvis indeholde specifikke procedurer for, hvordan man i det daglige arbejde sikrer, at data bliver slettet, eller hvordan man deler data med andre, hvad end det er interne kollegaer eller eksterne databehandlere.

Kontroller og dokumentation

Man skal samtidig kunne dokumentere, at ens håndtering af persondata lever op til GDPR loven og de dertilhørende regler på området. Eksempelvis skal man kunne dokumentere sletteproceduren af persondata efter endt kundeforhold.

En virksomhed kan sagtens have faste procedurer vedrørende hvordan og hvor ofte, de sletter data. Men det er ifølge lovgivningen helt essentielt, at den er nedskrevet eller på anden vis dokumenteret, så Datatilsynet kan føre tilsyn med handlingen, og hvorvidt den lever op til lovgivningen - herunder specifikt den gældende GDPR lov og regler.

En måde at styre dokumentationskravet på er ved at understøtte dem i sine IT løsninger og eventuelt automatisere nogle af de processer, der finder sted.

Opbevaring af persondata - hvornår og hvor længe?

Virksomheder må opbevare persondata, så længe de:

Har lovhjemmel til det.
Har et legitimt formål med at opbevare data.

Lovhjemmel betyder, at virksomheden må opbevare persondata, hvis:

Virksomheden har fået samtykke fra personen til at opbevare persondata.
Det står i loven, at data skal opbevares.
Det er nødvendigt for at kunne overholde en aftale eller kontrakt.
Virksomheden har en legitim interesse i at opbevare data. Og den interesse samtidig vægter tungere end personens interesse i, at data bliver slettet.

Normalt har en virksomhed eller myndighed tilstrækkelig lovhjemmel, hvis bare ét af de ovenstående kriterier er opfyldt.

Legitimt formål handler grundlæggende om sund fornuft.

Spørg jer selv: Hvad er formålet med at opbevare de givne personoplysninger?

Hvis I ikke har et legitimt formål, skal data slettes.

Eksempel

For seks måneder siden havde virksomheden et jobopslag, hvor I søgte en jurist. Der kom mange ansøgere, men siden da har I lukket hele den givne afdeling og vil aldrig ansætte jurister igen.

Har virksomheden stadig et legitimt formål med at gemme ansøgernes CV’er og ansøgninger? Her er svaret formentlig nej, jævnfør Databeskyttelsesloven, GDPR loven og de dertilhørende regler.

Så længe en virksomhed har både lovhjemmel og et legitimt formål, må virksomheden fortsætte med at opbevare data. Så snart det ikke længere er tilfældet, skal data slettes.

Privatpersoners rettigheder

Med indførelse af GDPR loven og reglerne herom (Databeskyttelsesloven også kendt som den tidligere Persondatalov) fik man som person indsigtsret i, hvilke data virksomheder opbevarer om en.

Som udgangspunkt har man ret til at se de personoplysninger, som en dataansvarlig behandler om en.
En databehandler derimod kan ikke pålægges et selvstændigt ansvar herfor over for den registrerede part.

De oplysninger, man har ret til at blive oplyst om, inkluderer:

Hvordan ens personoplysninger behandles
Hvad formålet er
Hvem oplysningerne deles med
Hvilket tidsrum oplysningerne opbevares i
Hvor personoplysningerne stammer fra

Dette er blandt andet med til at sikre, at man kan kontrollere, at oplysningerne er korrekte, og at behandlingen udføres med baggrund i en legitim hjemmel.

Løbende kontrol og princippet om rigtighed

Som virksomhed har I pligt til at sikre, at de opbevarede personoplysninger er korrekte, og at forkerte oplysninger slettes.

Dette kaldes også for princippet om rigtighed indenfor GDPR og Databeskyttelsesloven.

Princippet omfatter således ikke kun pligten til at slette eller rette oplysninger, som man er blevet gjort opmærksom på er forkerte. I har også en løbende pligt til aktivt at sikre, at jeres data er korrekte.

Dette kan eksempelvis gøres ved, at I løbende sammenligner indhentet information med opslag i offentlige registre såsom CPR, eller at I periodisk søger oplysningerne bekræftet fra individet, som oplysningerne drejer sig om.

Ongoing audits and accuracy illustration

Omfanget af hvor grundigt man sikrer sig oplysningernes rigtighed, og hvor hyppigt I skal gøre dette, afhænger af den data, I behandler. Jo mere følsom – og desto større risici forkert information udgør for den behandlede – jo flere processer bør I også have for at sikre imod dette udfald.

NewBanking - Håndtering af persondata gjort nemt og sikkert

Hvis du har læst helt herned – og har mistet pusten over udfordringen med GDPR, Databeskyttelsesloven og persondata (tidligere Persondataloven) – er du ikke den første.

Men bare rolig, der er en god løsning.

NewBanking er en dansk software platform, der siden 2015 har gjort det muligt for virksomheder og personer at udveksle oplysninger på en transparent og sikker måde i forhold til at overholde GDPR loven og de hertilhørende gældende regler.

For virksomheder er der et hav af fordele ved NewBanking:

Onboarding

Onboard dine kunder digitalt på en sikker kanal.

Validering

Opstil jeres egne krav til validering af oplysninger i henhold til GDPR loven og de gældende regler.

Dokumentation

Fuldt revisionsspor over foretagede handlinger og samtykke til behandling.

Håndtering

Med NewBanking overholder I alle krav i både GDPR og AML.

Hvad indebærer GDPR regler?

GDPR er en forkortelse af General Data Protection Regulation og indebærer regler og retningslinjer, som har til formål at beskytte forbrugeres persondata. Herunder finder du databeskyttelsesloven / persondataforordningen.

Hvad er brud på GDPR?

Du kan opleve store sanktioner ved brud på GDPR. Disse brud sker, hvis der eksempelvis misbruges data, lækkes eller videregives personfølsomme data, tab eller andet i disse data.

Hvem er ansvarlig for GDPR?

Virksomheder er ansvarlig for de persondata som indsamles og arbejdes med. I større organisationer ansættes ofte en primært til databeskyttelse og dataansvarlig. Vedkommende er ikke nødvendigvis den, som arbejder med dataten eller indsamler denne, men vedkommende behandler potentielle brud.

Hvilke virksomheder er omfattet af GDPR?

De fleste virksomheder med tilknytning til EU er underlagt GDPR og persondataforordningen.

Fra Persondataloven til Databeskyttelsesforordningen (GDPR)