GDPR Ordbog

Almindelige personoplysninger

Kan være navn, adresse, fødselsdato, væsentlige sociale problemer, økonomiske forhold, skatteoplysninger, sygedage, familieforhold, bolig, bil, ansøgning og CV, stilling m.v.

Behandling

Man behandler personoplysninger, hvis man fx registrerer, indsamler, organiserer, systematiserer, opbevarer, tilpasser, ændrer, søger, bruger, transmitterer, formidler, overlader, samkører, begrænser eller sletter personoplysninger.

Behandlingsgrundlag

Også kaldet “hjemmel”.

Det lovlige grundlag for at kunne behandle personoplysninger.

Fx kan en virksomhed behandle email til markedsføringsformål på baggrund af gyldigt samtykke, med hjemmel i Databeskyttelsesforordningens artikel 6, stk. 1, a).

Biometriske data

Personoplysninger, der har karakter af biometri – dvs. en persons specifikke fysiologiske, fysiske eller adfærdsmæssige kendetegn.

Disse er for eksempel oplysninger om fingeraftryk, ansigtstræk og øjeniris.

Dataansvarlig

Når man er dataansvarlig, bestemmer man formålet med behandlingen af personoplysninger. Hvis man behandler personoplysninger, men uden at have indflydelse på hvorfor man behandler dem (dvs. formålet), så er man ikke dataansvarlig. 

Databehandler

Man er databehandler, når man behandler oplysninger på vegne og efter instruks af en dataansvarlig. Som databehandler har man ikke indflydelse på formålet med behandlingen oplysningerne. 

Databrud

En hændelse, der medfører hændelig eller ulovlig

  • tilintetgørelse eller
  • tab eller
  • ændring eller
  • uautoriseret adgang eller
  • uautoriseret videregivelse

af de personoplysninger, man behandler. 

Databeskyttelsesforordningen

Den lovgivning, som er udarbejdet i EU-regi, og som gælder hele EU. Det officielle navn er “Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)”.

Forordningen kaldes også “GDPR” – en forkortelse for General Data Protection Regulation.

Forordningen trådte i kraft 27. april 2016, men fandt først anvendelse 25. maj 2018 – dvs. siden d. 25/5/18 har det været et lovkrav at følge reglerne, når man behandler personoplysninger, men reglerne har været kendt siden d. 27/4/16.

Databeskyttelsesloven

Den danske lovgivning, som følger af og supplerer Databeskyttelsesforordningen fra EU. Indeholder tilpassede regler for fx behandling af CPR-nummer, som er specielt for Danmark.

Databeskyttelseslovens officielle navn er “Lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven)” – LOV nr 502 af 23/05/2018.

Foranstaltninger

Foranstaltninger kan omhandle tekniske eller organisatoriske (sikkerheds-)tiltag i en organisation/virksomhed, som har til formål at undgå eller minimere risici ved behandling af personoplysninger.

En teknisk foranstaltning kan for eksempel være kryptering af information eller backup.

En organisatorisk foranstaltning kan for eksempel være awareness-træning af personale.

Følsomme personoplysninger

Oplysninger om

  • race eller etnisk oprindelse
  • politisk, religiøs eller filosofisk overbevisning
  • fagforeningsforhold
  • genetiske data
  • biometriske data (med henblik på identifikation)
  • helbredsoplysninger
  • seksuelle forhold eller seksuel orientering.

Kaldes også “særlige oplysninger”.

Genetiske data

Personoplysninger, der fortæller noget om en persons fysiologi eller helbred, for eksempel analyser af blodprøver, DNA-prøver og andre biologiske prøver.

Helbredsoplysninger

Helbredsoplysninger hører under kategorien særlige (følsomme) personoplysninger.

Oplysninger, der vedrører en persons fysiske eller mentale helbred, og som giver information om en persons helbredstilstand.

Oplysninger om antallet af en medarbejders sygedage er ikke en helbredsoplysning. 

Informationsaktiver

Informationsaktiver (i forbindelse med GDPR) er de aktiver i organisationen, i hvilke der behandles personoplysninger.

Det kan fx være elektroniske eller fysiske dokumenter, databaser, systemer, m.m., der indeholder fx kunde-, medlems- eller medarbejderdata. Det kan også dreje sig om personale, som arbejder med personoplysninger.

Interesseafvejning

Når man foretager en interesseafvejning, vurderer man, hvem der har den største interesse:

  1. Har den dataansvarlige størst interesse i at oplysningerne bliver behandlet?
  2. Eller har den registrerede størst interesse i at oplysninger ikke bliver behandlet?

Man skal bl.a. inddrage konsekvenser for den registrerede, når man vurderer interessen.

Kategorier af personoplysninger

Persondataretten opdeler personoplysninger i almindelige og særlige (også kaldet følsomme) kategorier af oplysninger. Der er forskelle mellem, hvornår man lovligt kan behandle de forskellige kategorier.

Derudover er der specielle regler for behandling af fortrolige oplysninger om en persons CPR-nummer og oplysninger om strafbare forhold. 

Legitim interesse

Man kan i visse tilfælde behandle almindelige oplysninger, hvis man har en legitim (dvs. en saglig) interesse i det, jf. Databeskyttelsesforordningens artikel 6, stk. 1, litra f.

Reglen gælder dog ikke for offentlige myndigheder.

Hvis formålet er legitimt – dvs. sagligt – skal man også foretage en interesseafvejning. (Se også “Interesseafvejning”).

Overførsel (af oplysninger)

Når man overfører personoplysninger, er der som oftest tale om, at man bringer informationerne videre til en modtager, som er etableret udenfor EU – dvs. et tredjeland. Modtageren kan være en anden dataansvarlig eller en databehandler.

(Se også “Videregivelse” og “Overladelse”).

Overladelse (af oplysninger)

Når man overlader personoplysninger, er der tale om, at man bringer informationerne videre til en modtager, som behandler oplysningerne efter instruks. Modtageren er derfor en databehandler.

(Se også “Videregivelse” og “Overførsel”).

Personoplysning

Enhver informationer om en person.

Personen skal enten være identificeret eller skal kunne identificeres ved hjælp af fx flere sammenkoblede informationer.

Eksempel: “En (unavngiven) person med lyst hår og briller i 5.A på Bakkeskolen” kan være en identificerbar person.

En personoplysning kan fx være navn, adresse, CPR-nummer, helbredsoplysninger, skostørrelse, skatteoplysninger, fingeraftryk, videooptagelser, fotos m.m.

Kan også betegnes “persondata”.

Registrerede

Den/de person(-er), der behandles oplysninger om.

Risiko (ifm. persondatabeskyttelse)

Risici, der er forbundet med sikkerheden af behandling af personoplysninger, kan identificeres, ved at udføre en risikovurdering.

Dvs. at man undersøger sandsynligheden af, at en hvilken som helst sikkerhedshændelse opstår og hvilken (negativ) konsekvens, det har for den registrerede.

Når man har vurderet sandsynligheden og konsekvensen, har man et risikobillede af den pågældende behandling af personoplysninger.

Se også “Risikovurdering“. 

Risikovurdering

En vurdering af de potentielle risici, der er forbundet med behandlingen af personoplysninger.

Risikovurderingen skal omhandle de risici, der kan være for den registrerede – og altså ikke for den virksomhed eller organisation, der behandler oplysningerne.

Vurderingen bør tage udgangspunkt i tre parametre: fortrolighed, tilgængelighed og integritet.

Samtykke

Den registrerede kan give tilsagn om noget gennem samtykke, fx at man godkender, at der sker en behandling af vedkommendes personoplysninger.

Der er særlige regler for, hvornår et samtykke er gyldigt, når der skal behandles personoplysninger. 

Særlige personoplysninger

Oplysninger om

  • race eller etnisk oprindelse
  • politisk, religiøs eller filosofisk overbevisning
  • fagforeningsforhold
  • genetiske data
  • biometriske data (med henblik på identifikation)
  • helbredsoplysninger
  • seksuelle forhold eller seksuel orientering.

Kaldes også “følsomme oplysninger”.

Videregivelse (af oplysninger)

Når man videregiver personoplysninger, er der tale om, at man bringer informationerne videre til en modtager (fx en person, en virksomhed, en offentlig myndighed m.fl.), som selv anvender oplysninger til egne formål. Modtageren bliver nu selv dataansvarlig.

(Se også “Overførsel” og “Overladelse”).