11 vigtigste GDPR definitioner

10. september 2018

Largo. Lodpost. Leukocyt. Ethvert fagområde har sine udtryk, som ikke er umiddelbart forståelige for andre. Det er imidlertid svært at sætte sig ind i et område, hvis man ikke har et minimum af kendskab til fagområdets ord. Efter behov kan det være nødvendigt at forstå, at largo er musik i langsomt tempo, lodpost er den lodrette stolpe mellem to vinduer og leukocyt er et hvidt blodlegeme. Således også indenfor persondataretten, hvor der er et par håndfulde ord, som det er nødvendigt at forstå, for at man kan arbejde med området.

Heldigvis er de vigtigste ord defineret direkte i lovgivningen. I persondataforordningens artikel 4 er der defineret 26 ord. Nogle af disse ord er så yderligere uddybet i forskellige vejledninger. F.eks. har Datatilsynet skrevet en vejledning om ordene dataansvarlig og databehandler og de europæiske datatilsyn har sammen skrevet en vejledning om ordet samtykke. I denne artikel vil de vigtigste ord blive forklaret.

Definitionerne kan findes i persondataforordningens artikel 4.

Datatilsynet har udgivet en vejledning om samtykke og om dataansvarlige og databehandlere.

Personoplysning

Enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.

Eksempler inkluderer bl.a. navn, adresse, e-mailadresse, telefonnummer, kundenummer, journalnummer, medarbejderID og IP-adresse.

Den registrerede

Den registrerede er den fysiske person, som personoplysningerne vedrører. Hvis der er tale om enkeltmandsvirksomheder er disse også omfattet af definitionen, fordi man siger, at en enkeltmandsvirksomhed siger meget om den person, som ejer virksomheden.

Behandling

Enhver aktivitet eller række af aktiviteter — med eller uden brug af automatisk behandling — som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.

Basalt er alt hvad man gør ved personoplysninger en behandling.

Dataansvarlig

En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.

For at være dataansvarlig skal man altså 1) bestemme formålet med behandlingen, 2) bestemme midlerne til behandlingen (f.eks. hvilket it-system eller hvilken leverandør, der skal foretage behandlingen) og 3) der skal eksplicit være tale om at ydelsens karakter vedrører behandling af personoplysninger.

Databehandler

En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne.

Hvis man er dataansvarlig modtager man altså en instruktion fra andre i at behandle personoplysninger i et givent system. Databehandleren må ikke selv bestemme formålet med behandlingen eller midlet (f.eks. et it-system). Databehandleren må dog godt sørge for at midlet fungerer ved f.eks. at opdatere systemet.

Samtykke

Fra den registrerede: enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling.

Samtykke er en måde at få lov til at behandle personlysninger. Ved samtykket beder man pænt om lov. Samtykket kan imidlertid trækkes tilbage, så hvis man ikke ønsker at give den registrerede et reelt frit valg om, hvorvidt der må behandles personoplysninger eller ej, skal man ikke bruge samtykke.

At samtykket skal være frivilligt betyder, at den registrerede ikke må kunne tvinges til at samtykke – f.eks. fordi den ene part har magt over den anden. At samtykket skal være specifikt betyder, at den registrerede ved præcis hvad det er der samtykkes til. Formålet må derfor ikke være for bredt, upræcist eller abstrakt. At samtykket skal være informeret betyder, at der skal være oplysninger tilgængelige om behandlingen – f.eks. i form af en privacy politik. At samtykket skal være utvetydigt betyder, at der ikke må kunne rejses tvivl om hvorvidt samtykket er afgivet. I praksis kan den dataansvarlige gemme en e-mail med samtykket eller tilvejebringe et system, hvor den registrerede klikker ja til samtykket og den dataansvarlige så logger dette klik.

Hjemmel

Udgangspunktet er at man ikke må behandle personoplysninger. Det må man så godt hvis man kan finde hjemmel. Hjemmel er altså en måde sikre at behandlingen er lovlig.

For de almindelige personoplysninger er der seks måder at sikre, at behandlingen er lovlig, herunder samtykke, kontrakt og interesseafvejning, jf. persondataforordningens artikel 6.

For de følsomme personoplysninger skal hjemmelen findes i artikel 9.

Der kan læses mere om den konkrete hjemmel her.

Kategorier af personoplysninger

Der findes forskellige kategorier af personoplysninger. Disse kategorier er der forskellige regler for behandling af.

1. Følsomme oplysninger
Personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering.

Listen over de følsomme oplysninger er udtømmende (artikel 9) og fremgår en given personoplysning ikke af denne liste, så er den ikke følsom.

2. Oplysninger om straffedomme og lovovertrædelse
Listen er selvforklarende.

3. Fortrolige oplysninger
Fortrolige oplysninger er ikke præcist defineret i persondataretten. I henhold til straffelovens §152 sammenholdt med forvaltningslovens § 27 udlægger Datatilsynet de fortrolige oplysninger som dem, der ”efter den almindelige opfattelse i samfundet bør kunne forlanges unddraget offentlighedens kendskab”.

Omfattet af fortrolige oplysninger er CPR-nummer. Efter omstændighederne er også oplysninger om indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold omfattet. Videre er oplysninger om interne familieforhold, f.eks. selvmordsforsøg og ulykkestilfælde omfattet, og sociale forhold. Selvom de strafbare oplysninger har deres egne regler i GDPR artikel 10 vil disse også være omfattet af kryptering.

4. Almindelige oplysninger
Personoplysninger, som ikke er omfattet af en af de ovenstående kategorier, er almindelige oplysninger.

Eksempler inkluderer navn, adresse, e-mailadresse, m.v.

Videregivelse

En videregivelse af personoplysninger indebærer, at oplysningerne meddeles en tredjemand, som herefter har en selvstændig ret til at behandle oplysningerne og altså bestemmer formål og midler.

Der er f.eks. tale om en videregivelse, når man køber eller sælger personoplysninger mellem virksomheder, når man videregiver personoplysninger til en offentlig myndighed, eller når der meddeles oplysninger mellem to juridiske enheder i en koncern.

Overladelse

En overladelse af personoplysninger indebærer, at den, som oplysningerne meddeles til, alene må behandle personoplysningerne på den dataansvarliges vegne og efter dennes instruks.

Der er f.eks. tale om en overladelse, når en dataansvarlig bruger en it-virksomhed i skyen (en databehandler) til et behandle sine data på vegne af sig. Tilsvarende er det en overladelse at anvende en rådgiver.

Overførsel

Lande udenfor EU/EØS området kaldes tredjelande. Når personoplysninger forlader EU/EØS området er der tale om en overførsel til tredjelande. En overførsel kræver særskilt hjemmel. Man taler derfor om dobbelthjemmel, fordi der først skal findes hjemmel for behandling og desuden skal findes hjemmel for overførsel.

Overførsel kan ske under anvendelse af Kommissionens standardkontrakter, bindende virksomhedsregler, til USA via Privacy Shield eller til sikre tredjelande, som er godkendt af Kommissionen.

Henning Mortensen

Henning har igennem mere end 15 år rådgivet og udgivet en række vejledninger og værktøjer til danske virksomheder om it-sikkerhed og persondataret i sin rolle som chefkonsulent i Dansk Industri.

I dag er Henning IT-sikkerhedschef og Chief Privacy Officer ved Brødrene A&O Johansen A/S og sidder derfor på daglig basis og arbejder med forordningen i praksis. Henning er desuden formand for Rådet for Digital Sikkerhed, medlem af Virksomhedsrådet for IT-sikkerhed, Privacy Evangelist for Wired Relations – easy GDPR software og en hyppigt anvendt underviser og foredragsholder.

Henning Mortensen blev tildelt Databeskyttelsesprisen 2018 for sit lange seje træk med at omsætte databeskyttelse til konkret vejledning og gode råd, som er anvendelige for både myndigheder og store og små virksomheder.

Følg Henning Mortensen på Linkedin

Du er måske også interesseret i

Notat om Schrems II

Notat om Schrems II

EDPBs anbefalinger bl.a. om supplerende foranstaltninger til standardkontrakterne ved tredjelandsoverførsler i lyset...