Send en besked

5 + 13 =

Generelt om GDPR

Introduktion

Her får du en helt generel introduktion til GDPR, som er forkortelsen for General Data Protection Regulation. Eller på dansk: databeskyttelsesforordningen. Du kan også her læse lidt om den danske databeskyttelseslov, som supplerer GDPR med regler, der gælder specifikt for behandling af personoplysninger i Danmark.

​Databeskyttelsesforordningen (GDPR) og databeskyttelsesloven er med andre ord regelsættet, der beskriver, hvordan man lovligt kan behandle personoplysninger, sådan at den enkelte persons rettigheder og frihedsrettigheder ikke overtrædes.

En lille note: selvom disse regler kun har få år på bagen, så omhandlede de tidligere regler nogenlunde det samme – dog med undtagelse af (for eksempel) et større bødeniveau for overtrædelser, nye former for dokumentation, og at man skal indtænke privatlivsbeskyttelse i sine processer. Det er altså ikke nyt, at man skal beskytte personoplysninger – fokus på området er blot væsentligt større end tidligere.

Hvad er en “behandling”?

Når man behandler oplysninger, vil man måske ofte tænke på en form for aktiv brug. En “behandling” i lovens forstand er dog mere end det: for eksempel vil en simpel opbevaring i et system også være en behandling. I GDPR fremgår det, at en behandling eksempelvis er:

“…indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.”

Så hvis blot en af disse handlinger foretages på personoplysninger – ja, så behandler man personoplysninger. Det skal dog også nævnes, at behandlingen kan foregå elektronisk (digitalt) eller manuelt i et struktureret register, for at behandlingen er omfattet af reglerne. Så en opbevaring af fysiske dokumenter i et fysisk system (arkivskuffer, ringbind etc.) er også omfattet – mens løse noter, som ikke er strukturerede, ikke er omfattet.

Og en ekstra krølle på halen er, at reglerne heller ikke gælder, hvis behandlingen af oplysningerne sker i rent personlige eller familiemæssige sammenhænge. Husk dog på, at en offentliggørelse af Gerdas konfirmationsbillede på Facebook ikke nødvendigvis er en “personlig” sammenhæng, hvis vennegruppen er tilstrækkeligt stor. Så her er man forpligtet til at beskytte Gerdas rettigheder og privatlivsoplysninger ved at overholde loven.

Forskellige kategorier af personoplysninger

Hvis du behandler personoplysninger, er det vigtigt at du ved, hvilken kategori oplysningerne hører til. Kategorien har bl.a. indflydelse på, hvornår oplysninger kan behandles lovligt (se afsnittet “Behandlingsgrundlag“), og hvor højt et beskyttelsesniveau, man bør iværksætte (se afsnittet “Risikovurdering“).

I Danmark skal vi forholde os til disse 4 “kategorier”:

Almindelige personoplysninger

Navn, adresse, telefonnummer, portrætfotos, økonomiske forhold m.v. Dvs. oplysninger, der ikke kan høre under de følsomme oplysninger, og som ikke omhandler strafbare forhold eller CPR-nummer.

Følsomme personoplysninger

(Også kaldet “særlige” personoplysninger)

  • Oplysninger om race og etnisk oprindelse
  • Politisk, religiøs eller filosofisk overbevisning
  • Fagforeningsmæssige tilhørsforhold
  • Genetiske data
  • Biometriske data mhp. identifikation
  • Helbredsoplysninger
  • Oplysninger om seksuelle forhold eller seksuel orientering.
Strafbare forhold

Oplysninger om straffedomme og lovovertrædelser – herunder også en begrundet mistanke om lovovertrædelser (men ikke ubegrundede beskyldninger).

CPR-nummer

Oplysninger om CPR-nummer.

Opmærksomhedspunkter

Selvom man kan få fornemmelsen af, at det er ganske forbudt at behandle personoplysninger, så er det ikke tilfældet. Reglerne rummer, at nødvendig behandling af oplysningerne er tilladt. Hvilket giver fint mening, da de færreste personer er interesserede i, at deres personoplysninger skal udsættes for unødvendig behandling.

Mange forbinder også GDPR med besvær. Pludseligt skal man sørge for et højt sikkerhedsniveau. Her skal man også huske på, at formålet med sikkerheden er, at man skal beskytte personoplysninger. Så ved at overholde GDPR, beskytter man personers rettigheder.

​Hvor kan du læse mere

Du kan læse mere om GDPR og databeskyttelsesloven på Datatilsynets hjemmeside.