Dette skal du vide om persondataloven og GDPR

Persondataloven, Persondataforordningen og Databeskyttelsesloven - hvad er forskellen?

Det kan være svært at finde rundt i alle de forskellige navne på lovgivning om persondata.

Faktisk er Databeskyttelsesforordningen, Persondataforordningen og GDPR (General Data Protection Regulation) alle udtryk for den selvsamme forordning, som er udstedt af EU. Den trådte i kraft i 2018, hvorefter hvert medlemsland skulle implementere den i sin egen lovgivning. Denne er også kaldt persondataloven 2018.

Forordningens officielle navn er:

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF

I Danmark blev forordningen, og lovgivningen vedrørende GDPR, implementeret som en del af Databeskyttelsesloven. Den blev vedtaget i foråret 2018. I denne forbindelse blev Persondataloven erstattet.

Mange tror stadig, at Persondataloven er den gældende lov på området, men det er ikke længere korrekt.

Tilsyn

I Danmark er det Datatilsynet, der fører tilsyn med, at virksomheder, myndigheder og andre typer af organisationer overholder reglerne i Databeskyttelsesloven.

Hvilke virksomheder er omfattet af persondataforordningen?

Persondataforordningen (og i Danmark, databeskyttelsesloven, samt tidligere Persondataloven) finder anvendelse på næsten al behandling af personoplysninger, dvs. al behandling af data der kan identificere en given person.

Læs mere om definitionen af personoplysninger og de forskellige typer.

Da lovgivning ofte er geografisk afgrænset, betyder det, at databeskyttelsesforordningen, persondataforordningen og GDPR, der alle er implementeret som en del af Databeskyttelsesloven gælder:

Når dataansvarlig eller databehandler er etableret i EU uafhængigt af, om behandlingen finder sted i eller uden for EU.
Hvor den registrerede befinder sig i EU, uafhængigt af dataansvarlig og/eller databehandlers opholdssted.
Hvor behandlingen af persondata vedrører enten udbud af en vare til en person eller virksomhed, som befinder sig i Danmark, eller overvågning af en type af adfærd som finder sted inden for Danmark.

Kort sagt er næsten alle virksomheder med en eller anden form for tilknytning til EU, hvad enten det er deres egen tilknytning eller deres kunders, underlagt kravene i henhold til GDPR loven og forordningen.

Hvad er en dataansvarlig og en databehandler?

Og hvad er forskellen?

I Persondataforordningen skelner man grundlæggende mellem to forskellige roller, som på hver sin måde behandler personoplysninger.

Man kan enten være databehandler eller dataansvarlig.

Data Manager and Data Processor illustration

Der stilles forskellige krav til de to typer. Det er derfor vigtigt, at I som virksomhed ved, hvilken af de to I kategoriseres som, inden I begynder at behandle personoplysninger.

Dataansvarlig

Den dataansvarlige er den, der definerer med hvilket formål og med hvilke hjælpemidler, personoplysninger behandles. Som dataansvarlig er man forpligtet til at sikre sig:

at man har en gyldig hjemmel for at kunne behandle de givne persondata
at man er i stand til at give indsigt til registrerede parter
at man registrerer brud på persondatasikkerheden, og herunder GDPR loven, til Datatilsynet.

Databehandler

Som databehandler behandler man udelukkende persondata på vegne af den dataansvarlige. Man har altså ingen indflydelse på formålet eller hvilke hjælpemidler, der bruges.

En databehandler kan eksempelvis være en udbyder af IT-services, hvor data opbevares på servere, eller en anden form for udbyder af en automatiseret behandling af persondata, hvor udbyderen ikke selv har indflydelse på data.

Netop fordi relationen mellem dataansvarlig og databehandler indeholder udvekslingen af persondata, er det vigtigt, at der er en databehandleraftale, som fastsætter den præcise relation mellem de to. Datatilsynets hjemmeside. Denne relation er yderligere væsentlig, da der skal være klare retningslinjer inden for GDPR loven. Dette skyldes, at der kan forekomme udveksling af sårbare informationer, som skal behandles korrekt.

Hvad er en Data Protection Officer (DPO)?

En tredje rolle er en DPO: Data Protection Officer eller databeskyttelsesrådgiver. Du er måske stødt på begrebet før, men hvad betyder det? Og bør din virksomhed have en DPO?

DPO’ens rolle at rådgive om kravene i henhold til GDPR loven og dennes regler (Databeskyttelsesloven) og vejlede dataansvarlig i, hvordan de kan følge disse krav. Det er dog vigtigt at understrege, at DPO’en ikke er ansvarlig for, at virksomheden efterlever hverken anbefalingerne eller GDPR loven.

Offentlige myndigheder og organer skal, uanset om de er dataansvarlige eller databehandlere, udpege en DPO. Private virksomheder er kun forpligtede til at gøre det, hvis følgende tre betingelser alle er opfyldt:

Behandling af personoplysninger er en kerneaktivitet
Personoplysninger behandles i et stort omfang
Behandlingen består i regelmæssig og systematisk overvågning eller vedrører følsomme oplysninger eller oplysninger om strafbare forhold.

Hvornår er behandling af personoplysninger så en kerneaktivitet?

De fleste organisationer udfører en eller anden form for behandling af personoplysninger i henhold til GDPR loven (tidligere jævnfør Persondataloven), men der skelnes altså mellem biaktiviteter og kerneaktiviteter.

Biaktiviteter kan generelt siges at være aktiviteter, som understøtter kerneaktiviteten. Eksempelvis har de fleste virksomheder en vis omgang med persondata i forbindelse med medarbejderdata og persondata relateret til salg og forskellige typer af support. Dette er, hvad der kan forstås som biaktiviteter.

Ifølge Datatilsynet er behandlingen af persondata en kerneaktivitet, hvis det, som virksomheden ønsker at sælge, er uløseligt forbundet med behandling af personoplysninger. Det kunne f.eks. være:

Forsikringsselskaber, hvis produkt skræddersys på baggrund af af persondata
Udbydere af marketingundersøgelser
Søgemaskiner
Virksomheder beskæftiget med headhunting

Disse er alle eksempler på virksomhedsaktiviteter, som er centreret omkring behandlingen af persondata, og hvor outputtet afhænger af den persondata, der bliver afgivet. Næsten alle virksomheder er altså, på den ene eller anden måde, omfattet af GDPR regler, og har med persondataloven at gøre.

Sådan lever du op til Databeskyttelsesloven (GDPR)

Databeskyttelsesloven, der indbefatter reglerne i GDPR loven, kræver en risikobaseret tilgang i lighed med f.eks. Hvidvaskloven.

En risikobaseret tilgang betyder, at uanset om virksomheden er databehandler eller dataansvarlig, så skal der foretages en vurdering af de typer af data, virksomheden opbevarer eller behandler – og derefter sikre, at de organisatoriske og tekniske foranstaltninger er i overensstemmelse med de vurderede risici.

Tekniske foranstaltninger	Organisatoriske foranstaltninger
Eksempelvis stærke firewalls, løbende opdateringer af koder og systemer, kryptering og en stærk IT-infrastruktur.	Eksempelvis beskrevne procedurer angående hvilke medarbejdere der må tilgå hvilke persondata, adgangstilladelser, sikkerhedskurser og uddannelse af medarbejdere.

For at leve op til Databeskyttelsesloven, og herunder den gældende GDPR lov, skal virksomheden have styr på:

En risikovurdering
Politikker og forretningsgange
Kontroller og dokumentation

Læs mere om disse nedenfor.

Hvordan laver man så en risikovurdering?

I risikovurderingen vil man typisk starte med at vurdere:

Hvilken type data, virksomheden opbevarer (der er eksempelvis forskel på, om man opbevarer e-mail-adresser, eller om man har kopier af pas liggende)
Konsekvensen, hvis data lækkes (for eksempelvis phishing, hacking eller at man internt i organisationen fejlagtigt udsender materiale indeholdende persondata)
De foranstaltninger, man allerede har taget i brug for at minimere ovenstående risici

På baggrund af disse faktorer kan man vurdere, om man finder risikoen acceptabel, eller om man bør iværksætte nye foranstaltninger for at nedbringe risikoen for datalæk.

Det er også et krav, at man skal kunne redegøre for ens overvejelser i forhold til ovenstående.

Politikker

De fleste virksomheder har fastlagte arbejdsprocesser, som ensarter og systematiserer arbejdet. På samme måde er det en god ide at have fastlagte politikker og arbejdsprocesser for håndteringen af persondata og GDPR loven i det hele taget.

Typisk vil man opdele persondatapolitikken alt efter, om den omhandler persondata på medarbejdere eller kunder. En persondatapolitik for kunder ville f.eks. kunne indeholde følgende punkter:

En afklaring af, hvorvidt I agerer som databehandler eller dataansvarlig.
Hvor persondata er placeret – om det er internt eller eksternt? Og hvis det er placeret udenfor EU/EØS, hvad I så har gjort for at sikre et tilstrækkeligt beskyttelsesniveau?
Hvorvidt I har en DPO ansat. Og i så fald hvad DPO’ens opgaver er, og hvordan I har sikret DPO’ens placering i organisationen.
Hvad jeres grundlag er for at opbevare data, altså afklaring af lovhjemmel og legitimitet.
Hvad jeres slettepolitik er, og hvor længe I opbevarer data efter endt kundeforhold. Og hvad jeres lovhjemmel er for dette.
Eventuelt hvilke tekniske og organisatoriske sikkerhedsforanstaltninger I har for at sikre jer imod sikkerhedsbrud, samt hvordan I vil håndtere et eventuelt brud.

Forretningsgange

En forretningsgang er ofte relativt detaljeret og vil med hensyn til persondata eksempelvis indeholde specifikke procedurer for, hvordan man i det daglige arbejde sikrer, at data bliver slettet, eller hvordan man deler data med andre, hvad end det er interne kollegaer eller eksterne databehandlere. Dette dokument gør det mere overskueligt at overholde alle GDPR regler indenfor GDPR loven.

Kontroller og dokumentation

Man skal samtidig kunne dokumentere, at ens håndtering af persondata lever op til GDPR loven og de dertilhørende regler på området. Eksempelvis skal man kunne dokumentere sletteproceduren af persondata efter endt kundeforhold i henhold til persondataloven.

En virksomhed kan sagtens have faste procedurer vedrørende hvordan og hvor ofte, de sletter data. Men det er ifølge lovgivningen helt essentielt, at den er nedskrevet eller på anden vis dokumenteret, så Datatilsynet kan føre tilsyn med handlingen, og hvorvidt den lever op til lovgivningen - herunder specifikt den gældende GDPR lov og regler.

En måde at styre dokumentationskravet på er ved at understøtte dem i sine IT løsninger og eventuelt automatisere nogle af de processer, der finder sted.

Opbevaring af persondata - hvornår og hvor længe?

Virksomheder må opbevare persondata i henhold til persondataloven, så længe de:

Har lovhjemmel til det.
Har et legitimt formål med at opbevare data.

Lovhjemmel betyder, at virksomheden må opbevare persondata, hvis:

Virksomheden har fået samtykke fra personen til at opbevare persondata.
Det står i loven, at data skal opbevares.
Det er nødvendigt for at kunne overholde en aftale eller kontrakt.
Virksomheden har en legitim interesse i at opbevare data. Og den interesse samtidig vægter tungere end personens interesse i, at data bliver slettet.

Normalt har en virksomhed eller myndighed tilstrækkelig lovhjemmel, hvis bare ét af de ovenstående kriterier er opfyldt.

Legitimt formål handler grundlæggende om sund fornuft.

Spørg jer selv: Hvad er formålet med at opbevare de givne personoplysninger?

Hvis I ikke har et legitimt formål, skal data slettes.

Eksempel

For seks måneder siden havde virksomheden et jobopslag, hvor I søgte en jurist. Der kom mange ansøgere, men siden da har I lukket hele den givne afdeling og vil aldrig ansætte jurister igen.

Har virksomheden stadig et legitimt formål med at gemme ansøgernes CV’er og ansøgninger? Her er svaret formentlig nej, jævnfør Databeskyttelsesloven, GDPR loven og de dertilhørende regler.

Så længe en virksomhed har både lovhjemmel og et legitimt formål, må virksomheden fortsætte med at opbevare data. Så snart det ikke længere er tilfældet, skal data slettes. Derfor er der mange virksomheder, der skriver ud til deres tidligere ansøgere, om de må få lov at beholde CV og ansøgning. Til tider er der sågar også en knap, man som ansøger kan markere for at give virksomheden lov til at beholde de tilsendte oplysninger.

Privatpersoners rettigheder

Med indførelse af GDPR loven og reglerne herom (Databeskyttelsesloven også kendt som den tidligere Persondatalov) fik man som person indsigtsret i, hvilke data virksomheder opbevarer om en.

Som udgangspunkt har man ret til at se de personoplysninger, som en dataansvarlig behandler om en.
En databehandler derimod kan ikke pålægges et selvstændigt ansvar herfor over for den registrerede part.

De oplysninger, man har ret til at blive oplyst om, inkluderer:

Hvordan ens personoplysninger behandles
Hvad formålet er
Hvem oplysningerne deles med
Hvilket tidsrum oplysningerne opbevares i
Hvor personoplysningerne stammer fra

Dette er blandt andet med til at sikre, at man kan kontrollere, at oplysningerne er korrekte, og at behandlingen udføres med baggrund i en legitim hjemmel. Med andre ord bidrager disse kriterier til at opretholde GDPR loven og de gældende retningslinjer for persondataloven.

Løbende kontrol og princippet om rigtighed

Som virksomhed har I pligt til at sikre, at de opbevarede personoplysninger er korrekte, og at forkerte oplysninger slettes.

Dette kaldes også for princippet om rigtighed indenfor GDPR og Databeskyttelsesloven.

Princippet omfatter således ikke kun pligten til at slette eller rette oplysninger, som man er blevet gjort opmærksom på er forkerte. I har også en løbende pligt til aktivt at sikre, at jeres data er korrekte.

Dette kan eksempelvis gøres ved, at I løbende sammenligner indhentet information med opslag i offentlige registre såsom CPR, eller at I periodisk søger oplysningerne bekræftet fra individet, som oplysningerne drejer sig om.

Ongoing audits and accuracy illustration

Omfanget af hvor grundigt man sikrer sig oplysningernes rigtighed, og hvor hyppigt I skal gøre dette, afhænger af den data, I behandler. Jo mere følsom – og desto større risici forkert information udgør for den behandlede – jo flere processer bør I også have for at sikre imod dette udfald.

Cases hos NewBanking

NewBanking har derudover også samarbejdet med en masse forskellige virksomheder, som har haft stor gavn af den danske software platform, NewBanking Identity. Herunder findes blandt andet advokatfirmaet Bech-Bruun, som netop kommenterer på, hvorvidt platformen har givet overskuelighed over sikker håndtering af oplysninger og data fra nye klienter i henhold til GDPR loven.

Dette fokus er noget, der går igen i udtalelserne fra vores forskellige samarbejdspartnere og kunder, som alle mener, at vores software platform har skabt en sikkerhed for dem i forbindelse med udveksling af data og oplysninger med klienter eller samarbejdspartnere.

Vi hos NewBanking er derfor med til at skabe overskuelighed over administrative opgaver såvel som sikkerheden i jeres virksomhed og udvekslingen af data.

Hvad indebærer GDPR regler?

GDPR er en forkortelse af General Data Protection Regulation og indebærer regler og retningslinjer, som har til formål at beskytte forbrugeres persondata. Herunder finder du databeskyttelsesloven / persondataforordningen.

Hvad er brud på GDPR?

Du kan opleve store sanktioner ved brud på GDPR. Disse brud sker, hvis der eksempelvis misbruges data, lækkes eller videregives personfølsomme data, tab eller andet i disse data.

Hvem er ansvarlig for GDPR?

Virksomheder er ansvarlig for de persondata som indsamles og arbejdes med. I større organisationer ansættes ofte en primært til databeskyttelse og dataansvarlig. Vedkommende er ikke nødvendigvis den, som arbejder med dataten eller indsamler denne, men vedkommende behandler potentielle brud.

Hvilke virksomheder er omfattet af GDPR?

De fleste virksomheder med tilknytning til EU er underlagt GDPR og persondataforordningen.

Fra Persondataloven til Databeskyttelsesforordningen (GDPR)