GDPR Ordbogen - Hvad betyder GDPR

Alt det der GDPR er noget af en jungle at finde rundt i. Derfor har jeg startet Ordbogen der fortæller dig hvad alle GDPR udtryk betyder. Det er ikke nemt at finde rundt i alle GDPR udtryk men bare rolig, i denne ordbog finder du alle betydningerne og synonymer for GDPR.

Du klikker bare på det bogstav der er det første i det GDPR ord du leder efter så kommer du ned til der hvor jeg forhåbentlig har en forklaring.

| A | B | C | D | E | F | G 
| H | I | J | K | L | M | N 
| O | P | Q | R | S | T | U 
| V | W |X | Y | Z | Æ | Ø | Å |

A.

Almindelige personoplysninger:

Almindelige personoplysninger er meget lang nedenstående er bare nogle eksemplar:

  • Adresse
  • CVR-nummer
  • E-mailadresse
  • Kreditkortnummer
  • Bankkontonummer
  • Navn
  • Stilling
  • Telefonnummer

Personoplysninger er enhver information om en identificeret eller identificerbar, fysisk person.

Dette gælder også, selvom identifikationen af personen kun kan ske ved kombination af flere oplysninger.

Personoplysninger inddeles i 3 kategorier:

Almindelige, fortrolige og følsomme personoplysninger se uddybning under ”Behandlingsgrundlag”

Adresse oplysning:

Artikel 30:

Datatilsynet skriver følgende i deres vejledning til Den interne fortegnelse / Artikel 30 om hvordan den skal være udarbejdet.”Fortegnelser” skal foreligge skriftligt og elektronisk. Det betyder, at du ikke udelukkende må føre fortegnelsen i et fysisk dokument eller efter hukommelsen. Der stilles ikke herudover krav til fortegnelsens format. Du vil således kunne føre fortegnelsen i et skema eller i et almindeligt tekstbehandlingsdokument”, Læs gerne hele vejledningen fra Datatilsynet. 

Artikel 30 er hele grundlaget for GDPR. Enhver enhed, der har et CVR-nummer skal udarbejde en artikel 30 / Fortegnelse, hvor alle behandlingsaktiviteter skal være beskrevet.

    • Formkravet fra Datatilsynet er at Fortegnelsen skal være skriftlig samt elektronisk, dvs. du må ikke have den liggende som et fysisk dokument i skuffen.
    • En Fortegnelse skal bl.a. indeholde oplysninger om hvilken virksomhed den enkelte fortegnelse drejer sig om, dette betyder bl.a. at der ikke kan være en generisk fortegnelse for alle virksomheder i en koncern, der skal udarbejdes en for hver virksomhed. Her skal være beskrevet hvilke systemer (IT- mæssige samt manuelle systemer), hvor der opbevares persondata oplysninger derudover skal formålet med opbevaringen, hvem der modtager de indsamlede data, f.eks. Sendes data til usikre 3. lande, slettefrister være beskrevet.
    • Listen over hvad en Fortegnelse skal indeholde er beskrevet i vejledningen fra Datatilsynet. 
  • Fortegnelse:  Baggrunden er artikel 30 i GDPR-forordningen.
    • Dette er hele grundlaget for GDPR. Enhver enhed, der har et CVR-nummer skal udarbejde en artikel 30 / Fortegnelse, hvor alle behandlingsaktiviteter skal være beskrevet.
    • Formkravet fra Datatilsynet er at Fortegnelsen skal være skriftlig samt elektronisk, dvs. du må ikke have den liggende som et fysisk dokument i skuffen.
    • En Fortegnelse skal bl.a. indeholde oplysninger om hvilken virksomhed den enkelte fortegnelse drejer sig om, dette betyder bl.a. at der ikke kan være en generisk fortegnelse for alle virksomheder i en koncern, der skal udarbejdes en for hver virksomhed. Her skal være beskrevet hvilke systemer (IT- mæssige samt manuelle systemer), hvor der opbevares persondata oplysninger derudover skal formålet med opbevaringen, hvem der modtager de indsamlede data, f.eks. Sendes data til usikre 3. lande, slettefrister være beskrevet.
    • Listen over hvad en Fortegnelse skal indeholde er beskrevet i vejledningen fra Datatilsynet.

B.

Behandling:

En behandling af personoplysninger er eksempelvis når man indsamler, registrerer, bruger, opbevarer, videregiver og sletter personlige oplysninger

Behandlingsgrundlag:

Behandling af personoplysninger må kun ske, hvis man har et lovligt behandlingsgrundlag, som f.eks.

Behandlingsgrundlag for behandlingen af almindelige, fortrolige og følsomme personoplysninger findes i GDPR, artikel 6, stk. 1.

Der er generelt et gyldigt behandlingsgrundlag, hvis mindst ét af følgende forhold gør sig gældende:

  • Virksomheden har den registreredes samtykke til de aftalte oplysninger.
  • Virksomheden har en kontrakt eller træffer foranstaltninger med henblik på at indgå en
    kontrakt, som den registrerede er part i, og behandlingen af personoplysninger er
    nødvendig til indgåelse eller opfyldelse heraf.
  • Hvis behandlingen er nødvendig for at overholde en retlig forpligtelse.
  • Hvis behandlingen er nødvendig for at beskytte den registreredes vitale interesser.
  • Den registrerede skal udføre en opgave i samfundets interesse eller en opgave, som
    henhører under offentlig myndighedsudøvelse.

Hvis man behandler følsomme personoplysninger, skal man derudover identificere en undtagelse, f.eks.

  • Virksomheden har den registreredes samtykke til de aftalte oplysninger.
  • Virksomheden finder det nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser i tilfælde, hvor den registrerede fysisk eller juridisk ikke er i stand til at give samtykke.
  • Virksomheden finder det nødvendigt for at overholde den dataansvarliges arbejds-, sundheds- og socialretlige forpligtelser eller den registreredes specifikke arbejds-, sundheds- og socialretlige rettigheder.

Hvis man behandler personoplysninger i ansættelsesforhold, er der særlige regler. F.eks.

  • Det er nødvendigt for at overholde arbejdsgiverens eller den registreredes arbejdsretlige forpligtelser eller rettigheder, som er fastlagt i anden lovgivning eller kollektive overenskomster.
  • Det er nødvendigt for at forfølge en legitim interesse, som udspringer af lovgivning eller kollektive overenskomster, der overstiger den registreredes interesser, grundlæggende rettigheder og frihedsrettigheder.
  • Medarbejderen har givet sit samtykke til behandlingen, dette kan være flere ting, f.eks. billeder på firmaets SoMe-sider og hjemmeside.

Brud på persondatasikkerheden:

Når personoplysninger bliver offentliggjort, delt med uvedkommende, videregivet eller på anden vis gjort tilgængelig for uvedkommende personer.

C.

Compliance:

Compliance betyder overholdelse af regler eller efterlevelse af de retningslinjer som den enkelte virksomhed har indført. En del virksomheder f.eks. Pengeinstitutterne i Danmark havde compliance regler / retningslinjer inden GDPR blev indført. Da GDPR kom blev de allerede etablerede compliance regler ændret, så de passede til GDPR lovgivningen. Dette gør at der stadig er en del overlap i vejledninger, hvor der nogle steder står Compliance og andre steder står GDPR.

Cookies:

Hvem er omfattet af cookiereglerne?

Alle danske hjemmesider er omfattet af cookiereglerne. Hvis du anvender cookies på din hjemmeside, skal du informere brugerne om dette samt indhente samtykke til at sætte samt anvende de cookies, du indsamler.

Der er dog enkelte undtagelser, som du kan se på Erhvervsstyrelsens hjemmeside

Jeg vil her kort ridse op hvordan du skal gøre for at sikre den lovmæssige overholdelse af cookies politikken, typisk er denne politik at finde nederst i footeren på hjemmesider

  1. Start med, at finde ud af hvilke cookies du har på din hjemmeside

Hvis du tænker hvordan gør jeg det.? Så er du en helt almindelige hjemmeside ejer, min måde at gøre det på er følgende:

  • Gå ind på Cookiebot
  • Skriv din webadresse i feltet mit på siden og tryk på
  • ”Tjek min hjemmeside”

Du betaler for denne service med din e-mailadresse samt et samtykke til, at de må sende dig et tilbud på hvad det vil koste at blive kunde hos cookiebot (gratis, hvis du ikke har så mange undersider).

  1. Informer brugerne om hvilke cookies du anvender:

Cookiereglerne kræver, at brugerne bliver oplyst om cookies på en hjemmeside. Start derfor med at informere brugerne om, at der er cookies på hjemmesiden, og hvad formålet med dem er.

For at opfylde informationskravet skal informationen:

Skrives i et klart, præcist og letforståeligt sprog eller tilsvarende i letforståeligt billedsprog, fx piktogrammer,

Oplyse om formålet med at lagre eller få adgang til oplysninger i brugerens pc, tablet eller smartphone.

  1. Få samtykke fra brugeren

Her skal du huske at det skal være et aktivt samtykke, dvs. i den pop-up boks, hvor brugeren skal markere hvilke cookies du får lov til at indsamle, må det kun være ”Nødvendige” cookies, der er markeret, de øvrige cookies skal brugeren selv markere. Cookiebot har denne funktion med i deres standard opsætning, og gør det meget nemmere at være hjemmeside ejer. Du kan læse hele Erhvervsstyrelsens vejledning.

Cpr nummer:

CPR-nummer er i kategorien ”Fortrolige personoplysninger”

Hovedreglen er: Personnumre må ikke offentliggøres jf. databeskyttelseslovens § 11.

Fortrolige oplysninger er underlagt særlige krav, og sådanne oplysninger må eksempelvis kun sendes via e-mail, hvis der anvendes kryptering. Der findes forskellige selskaber, som sælger e-mail løsninger, så du kan sikre dig at dine e-mails er krypteret, når de afsendes.

Datatilsynet har forklaret hvornår du må behandle f.eks. CPR nummer.

D.

Databehandler:

En virksomhed eller myndighed, der behandler personoplysninger på vegne af en eller flere dataansvarlige.

Dataansvarlig:

En virksomhed eller myndighed, der behandler personoplysninger og afgør, hvilke formål og med hvilke hjælpemidler personoplysningerne må behandles.

Databehandleraftale:

Den aftale, der skal indgås mellem den dataansvarlige og databehandleren, som skal sikre, at personoplysninger behandles og beskyttes efter gældende lovgivning.

Databehandling:

Databehandling er kort fortalt alle handlinger, hvor personoplysninger indgår. Listen over handlinger, der anses som databehandling er nærmest uendelig.

Databeskyttelsesforordningen:

Den formelle titel på forordningen, der fandt anvendelse den 25. maj 2018, i daglig tale kaldes GDPR.

Databrud:

Hvad er et databrud.?

      • Et databrud defineres af Datatilsynet til at være opstået når den Dataansvarlige (dvs. den der har ansvaret for indsamling af data samt har defineret hvornår data slettes) erkender at der er sket et databrud. Samtidig er Datatilsynets defineret på følgende måde/ tekst: “Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.”
      • Af eksemplar på databrud kan f.eks. Være:
        • Uautoriserede personer/ brugere, der får adgang til persondata (f.eks. Hacking) eller hvis den dataansvarlige ikke sletter persondata som det er beskrevet i en databehandleraftale. Her kan det tænkes at den dataansvarlige skal give sin databehandler besked om at data skal slettes.
      • Datatilsynet har udarbejdet en god vejledning til håndtering af brud på persondatasikkerheden samt hvad den dataansvarlige skal gøre, når ulykken er sket og databruddet er sket. Vejledningen kan findes her,  husk databrud skal indberettes indenfor 72 timer efter databruddet er blevet kendt.

Datadysten:

Datadysten. Der skal også være tid til leg og sjove spil, derfor er anbefalingen herfra at I skal prøve Datadysten fra datatilsynet. På den måde kan I få lidt leg og sjov med ind i arbejdet med at bliver klogere på GDPR. Se Datadysten. 

Dataminimering:

Man må kun indsamle tilstrækkelige, relevante og nødvendige data om personer. Der må således ikke indsamles data, der er unødvendige i forhold til formålet, samtidigt med at behandlingen af data skal ske på et egnet grundlag. Der skal derfor, når der indsamles oplysninger, ske en konkret vurdering af hvilke data, der er relevante for at opfylde formålet med indsamlingen.

Datasubjektet:

Datasubjektet er den person, som data henføres til, dvs. den person, som den enkelte virksomhed har indsamlet data om

Datasikkerhed:

Datasikkerhed er en generel betegnelse for alle foranstaltninger, du kan foretage for at vogte jeres data og jeres kunders personoplysninger.

Datatilsynet:

Offentlig tilsynsmyndighed, der fører tilsyn med overholdelse af GDPR.

Datatilsynet er den centrale uafhængige myndighed der fører tilsyn med, at Databeskyttelsesforordningen overholdes.

Datatilsynet består af et råd – Datarådet – og et sekretariat. Datarådet træffer afgørelse i konkrete sager af principiel karakter, mens sekretariatet varetager Datatilsynets daglige drift. Tilsynets sekretariat består af ca. 65 dygtige og dedikerede medarbejdere, der varetager Datatilsynets daglige drift. Du kan læse mere om Datatilsynet samt deres opgaver og afgørelser på dette Datatilsynet samt deres opgaver og afgørelser.

DPIA(Konsekvensanalyse):

En DPIA kaldes også en konsekvensanalyse vedrørende databeskyttelse er en proces, der har til formål at beskrive behandlingen, vurdere dens nødvendighed og proportionalitet og bidrage til at håndtere de risici for fysiske personers rettigheder og frihedsrettigheder, som behandlingen af personoplysninger medfører ved at vurdere dem og fastlægge foranstaltninger til at afhjælpe dem. En konsekvensanalyse skal således ses i sammenhæng med risikovurderingerne (se nedenfor), da man som dataansvarlig alene har pligt til at foretage en konsekvensanalyse i de tilfælde, hvor der sandsynligvis er høj risiko for fysiske personers rettigheder og frihedsrettigheder, herunder beskyttelse af personoplysninger.

Datatilsynets vejledning på en DPIA 

DPO / Data Protection Officer:

Forkortelse for Data Protection Officer (på dansk databeskyttelsesrådgiver). En
DPO skal rådgive den dataansvarlige om de databeskyttelsesretlige regler og på bedste
vis understøtte god databeskyttelse hos den dataansvarlige.

    • Hvem skal have en DPO.?
      • Private virksomheder: Følgende tre betingelser skal alle være opfyldt: 1. Behandling af personoplysninger skal være virksomhedens kerneaktivitet 2. Der skal behandles personoplysninger i et stort omfang 3. Behandlingsaktiviteten består i regelmæssig og systematisk overvågning af personer eller behandlingen vedrører følsomme oplysninger eller oplysninger om strafbare forhold
      • Offentlige virksomheder: Hvornår skal offentlige myndigheder udpege en databeskyttelsesrådgiver? I det omfang behandling foretages af en offentlig myndighed eller et offentligt organ skal myndigheden eller organet altid have en databeskyttelsesrådgiver, hvad enten de er dataansvarlige eller databehandlere.
      • Der kan læses mere i vejledningen fra Datatilsynet.

E.

EU Dataforordning:

I maj 2018 trådte den generelle forordning om databeskyttelse i kraft, og dermed fik alle virksomheder, som opererer i EU, et regelsæt, som de skal følge, uanset hvor i verden de er etableret.

Erhvervsstyrelsen:

Erhvervsstyrelsen informerer og vejleder om, hvordan man kan overholde loven og fører tilsyn med, at cookiereglerne bliver overholdt. Se under Cookies.

F.

Fortegnelse:

Fortegnelse, Intern fortegnelse, Artikel 30. Dette er det dokument, som er det vigtigste i GDPR.

Datatilsynet skriver følgende: Databeskyttelsesforordningen stiller krav om, at alle dataansvarlige og databehandlere fører interne fortegnelser over deres behandling af personoplysninger. Kravet om at føre en fortegnelse skal ses som en forlængelse af databeskyttelsesforordningens øgede fokus på ansvarlighed (”accountability”)

Vejledningen til udformning fra Datatilsynet kan finder du her.

Fortrolige personoplysninger:

Er underlagt særlige krav, og sådanne oplysninger må eksempelvis kun sendes via e-mail, hvis der anvendes kryptering.

Hvad er fortrolige personoplysninger

Følsomme personoplysninger:

Følsomme personoplysninger er særligt personlige oplysninger, som nyder ekstra stærk beskyttelse i GDPR. Det kommer til udtryk i form af flere krav til, hvornår disse personoplysninger må behandles. Følsomme personoplysninger er bl.a. 

• Biometriske oplysninger
• Fagforening
• Genetisk information
• Helbredsoplysninger
• Politisk overbevisning
• Race, etnicitet
• Religion/filosofisk overbevisning
• Seksuel orientering/seksuelle forhold
• Straffedomme og lovovertrædelser (særlige persondata) 

G.

GDPR:

Forkortelse for General Data Protection Regulation.
Hedder på dansk Databeskyttelsesforordningen og kaldes af nogen Persondataforordningen.

GPDR betyder:

GDPR- Forsikring:

GDPR er som en ansvarsforsikring på din bil, den skal være der, idet det er lovpligtigt, men du forventer aldrig at skulle bruge den. Det, som du skal have på plads i forbindelse med GDPR er en Artikel 30/ Fortegnelse, som du skal have klar inden Datatilsynet melder sin ankomst. Derudover skal den kunne fremsendes eller vises frem, når det ønskes fra Datatilsynet eller Erhvervsstyrelsen (de varetager opgaven med kontrol af bl.a. Cookies). En artikel 30 skal udover at vise hvordan din virksomhed behandler de forskellige persondata der indsamles, skal den også indeholde en risikovurdering af de enkelte IT-systemer. 

GPDR kursus:

Der findes en del forskellige GDPR- kurser og mange af dem er også gode. GDPR-Regler.dk afholder også kurser i GDPR, vi afholder to forskellige typer af GDPR-kurser:

      • AMU-kurser, hvor der tages en afsluttende prøve. Dette gennemføres i samarbejder med Edutasia og Nyledige.dk, som er akkrediteret til at måtte gennemføre AMU kurser. Derudover afholdes virksomheds specifikke GDPR-kurser, hvor kurset bygges op i samarbejde med den enkelte virksomhed, så deltagerne får præcis den viden samt indhold som den enkelte virksomhed. Typisk er der også indarbejdet proces gennemgang samt optimering i kurserne, da virksomhederne ønsker dette.

GDPR-univers for små virksomheder:

Et af de spørgsmål, som typisk kommer ved webinarer, kurser eller til netværksmøder er at “Det der GDPR er nok meget godt, men det er jo kun for banker og andre store virksomheder, og ikke sådanne nogle som mig”. Desværre, GDPR gælder for alle der behandler persondata, hvilket alle virksomheder gør. Tommelfingerreglen er: Har du et CVR-nummer? så behandler du persondata og skal leve op til GDPR lovgivningen, dvs. der skal udarbejdes en Fortegnelse / Artikel 30.

Datatilsynet har i foråret 2023, den giver masser af god inspiration til hvad GDPR er for en opgave samtidig er der masser af gratis hjælp at hente hos GDPR for små virksomheder (datatilsynet.dk)

H.

Hacking:

Hacking sker i flere tilfælde grundet der ikke er sket den fornødne sletning  af datasystemer / programmer eller en dataminimering, som der jævnfør GDPR skal ske løbende, idet der kun skal opbevares data, som er nødvendige at gemme grundet de skal anvendes. Derfor er opfordringen herfra: gennemgå årligt alle jeres datasystemer, de der ikke længere anvendes skal slettes (husk at afbestille abonnementerne), se efter om I får slettes data som beskrevet i jeres fortegnelse.

I.

Informationssikkerhed:

En del af GDPR er også at sikre informationsflowet af de data, der udveksles mellem virksomheder samt privatpersoner. Her er informationssikkerheden et helt selvstændigt område og særdeles vigtigt, idet f.eks. skal personfølsomme oplysninger, der sendes via e-mail sendes krypteret.

Indsigtsanmodning: 

Du har som udgangspunkt ret til at se de personoplysninger, der behandles om dig. På den måde er du sikret gennemsigtighed i behandlingen af dine personoplysninger.

Du har som udgangspunkt ret til at se de personoplysninger, den dataansvarlige behandler om dig – og du har ret til at få en kopi med oplysningerne udleveret gratis.

Du har desuden ret til at få en række oplysninger om, hvordan dine personoplysninger behandles, herunder bl.a. hvad formålet med behandlingen er, hvem dine personoplysninger deles med, samt informationer om det tidsrum dine personoplysninger opbevares i. Du har desuden ret til at få at vide, hvor dine personoplysninger stammer fra. Der er sat en tidsfrist på 30 dage til, at levere disse oplysninger, hvis der er noget kompliceret i indsamling af data om den registrerede, kan fristen forlænges med op til 2 måneder, men den Dataansvarlige skal proaktivt informere den der har ønsket indsigt om at den forlængede svarfrist, og de samlede 3 måneder er en max. Sagsbehandlingstid for at indsamle samt udlevere data til den registrerede.

Iværksætter:

En iværksætter skal også have styr på sin GDPR. Mange iværksættere har hverken råd til GDPR eller overblik over hvad de skal have styr på når vi snakker GDPR og derfor bliver det ofte noget de sætter helt til side. Men selv om du har en helt nystartet virksomhed så skal du også have styr på GDPR. Hvis din virksomhed er under 2 år gammel og du kun har dig selv og evt 1 ansat så vil jeg gerne hjælpe dig med at få styr på din GDPR uden du skal betale en formue for det. Tjek denne Iværksætter GDPR pakke

J.

Journalisering / ESDH system:

Indenfor Elektronisk sags- og dokumenthåndtering (ESDH) findes der forskellige systemer, der kan hjælpe med at sikre journaliseringen af data. Hvilket system, der er det rigtige ESDH system at anvende afhænger af den branche, som den enkelte virksomhed arbejder indenfor. ESDH dækker som begreb både over forskellige IT-løsninger, men den er også en disciplin, hvor brugeren skal være struktureret samt anvende de aftalte principper for søgeord osv.

K.

Konsekvensanalyser:

Det er et dokument og en analyse, der skal udarbejdes hvis en
behandling af personoplysninger sandsynligvis vil indebære en høj risiko for den
registrerede person.
Konsekvensanalysen skal beskrive og analysere de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger.

Konsekvensanalyse (DPIA):

En konsekvensanalyse vedrørende databeskyttelse er en proces, der har til formål at beskrive behandlingen, vurdere dens nødvendighed og proportionalitet og bidrage til at håndtere de risici for fysiske personers rettigheder og frihedsrettigheder, som behandlingen af personoplysninger medfører ved at vurdere dem og fastlægge foranstaltninger til at afhjælpe dem. En konsekvensanalyse skal således ses i sammenhæng med risikovurderingerne (se nedenfor), da man som dataansvarlig alene har pligt til at foretage en konsekvensanalyse i de tilfælde, hvor der sandsynligvis er høj risiko for fysiske personers rettigheder og frihedsrettigheder, herunder beskyttelse af personoplysninger.

Datatilsynets vejledning på en DPIA 

L.

Lexoforms:

Lexoforms er en IT-cloud platform, hvor alle dine GDPR-dokumenter til brug for etablering af en virksomheds interne fortegnelse / artikel 30   kan ligge i et lukket system, der udover at hjælpe dig med, at leve optil gældende lovgivning, hjælper dig på en nem måde med, at vise status til din ledelse samt bestyrelse. Lexoforms er bygget op, så du for den samme årlige pris kan tilknytte såvel en rådgiver som alle de brugere, du måtte have behov for. GDPR-Regler.dk er rådgiver på Lexoforms

Log:

Du skal som virksomhed føre en log over de hændelser (mindre databrister), der sker i dagligdagen samt kunne dokumentere hvad du har gjort for at de ikke sker igen eller hvordan du har mitigeret risici på den opstående hændelse.

M.

MitId:

Fra midten af 2022 forventes det at alle er gået over til MitId. Det er afløseren for NemId. MitId er den nye og forbedret login løsning til de platforme der kræver forhøjet sikkerhed.

Mitigerende handling:

Hvad betyder det at mitigere noget?

      • At mitigere noget betyder at gøre noget mindre / mildere. I GDPR-sammenhæng er det anvendt ved risikovurderingen.
      • Hvordan opstår behovet for en mitigerende handling.?
        • Ved gennemgangen af et IT-system komme et resultat, der giver en høj risiko, som gerne skal minimeres (ved en eller flere mitigerende handlinger), så den f.eks. Kommer ned i en middel risikovurdering, til gavn for de persondata, der opbevares. Et eksempel kunne være at data i starten opbevares i IT-system, som anvender et usikkert 3. land til opbevaring af data. Data flyttes så til et EU- land ved at skifte leverandør. På den måde nedsættes / mitigeres risici og risikovurderingen kan f.eks. Blive middel i stedet for høj.

En mitigerende handling kan også være ved opsætning samt anvendelse af 2-faktor godkendelse ved login på et IT-system, så der udover et loginnavn, et password også skal indtastes en ekstra kode ind, som sendes til den tilknyttede mobiltelefon efter at login samt password er indtastet.

Mobilnummer oplysning:

N.

NemId:

Er den fælles digitale signatur der bruges på de fleste offentlige og financielle platforme når du skal logge ind. I 2022 bliver NemId udfaset og MitID kommer i stedet for.

O.

Oplysningspligt:

Oplysningspligten betyder, at den dataansvarlige på eget initiativ har pligt til at give den registrerede en række oplysninger, når den dataansvarlige indsamler personoplysninger om vedkommende, herunder bl.a. oplysninger om identitet og kontaktoplysninger for den dataansvarlige og oplysninger om formålene med den behandling, som personoplysningerne skal bruges til, og retsgrundlaget for behandlingen. Typisk er denne side placeret nederst på en hjemmeside under navnet ”Personlivspolitik”. Se hvordan GDPR-regler.dk har gjort det

Opbevaringsbegrænsning:

Personoplysninger skal slettes eller gøres anonyme, når det ikke længere er nødvendigt for den dataansvarlige at have oplysningerne eller den i artikel 30 / Fortegnelsen beskrevne slette regel er nået.

Overførsler:

Her tænkes typisk på overførsler til 3. lande og specielt de 3. lande, som er usikre 3. lande, f.eks. USA og Indien. Hvis muligt skal du undlade at overføre data til usikre 3. lande, og hvis det ikke er muligt at undgå det, skal du som min. have udført en konsekvensanalyse (DPIA) samt have klarlagt samtlige risici og mitigerende handlinger for at minimere risici.

Emnet ændres og opdateres løbende på Datatilsynets hjemmeside, når der er ændringer. Læs den nyeste opdatering ved dataoverførsler.

P.

Persondata forordningen:

Persondata / personoplysninger:

Det samme som personoplysninger og omfatter enhver form for information om en identificeret eller identificerbar fysisk Person.

Personoplysninger inddeles i 3 kategorier:

Persondataloven:

Persondataloven trådte i kraft den 1. juli 2000. Datatilsynet er den offentlige myndighed, der fører tilsyn med, at persondataloven overholdes. Persondataloven er ikke længere gældende i Danmark. Datatilsynet henviser nu til lovgivning på Databeskyttelsesområdet.

Persondatasikkerhed:

Typisk anvendes ordet Persondatasikkerhed i forbindelse med at der er sket et brud på Persondatasikkerheden, dvs. der er sket en deling af persondata, f.eks. e-mails med CPR-numre til forkerte personer.

Datatilsynet har udarbejdet en vejledning til hvordan et brud på persondatasikkerheden skal håndteres

Persondatasikkerhedsbrud:
 
Når persondata går tabt, bliver utilgængelig, tilintetgjort, ændret, kompromitteret, offentliggjort, videregivet eller på anden vis bliver tilgængeligt for uvedkommende. Det kan f.eks. være, hvis vi kommer til at sende breve til den forkerte borgers e-Boks, eller hvis vores it-systemer bliver hacket, så er du forpligtiget til indenfor 72 timer at anmelde bruddet til Datatilsynet, med mindre, det vurderes at bruddet medfører risiko for personers rettigheder eller frihedsrettigheder. Du kan læse mere om hvordan du rent praktisk skal gøre en anmeldelse hos Datatilsynet

Personlivspolitik (på hjemmesiden): (Registreredes rettigheder)

  • En privatlivspolitik er typisk placeret på en dataansvarliges hjemmeside og skal min. indeholde følgende oplysninger:
    • Hvem er ansvarlig for indsamling af data
    • Hvem er kontaktpersonen ved spørgsmål
    • Hvad er formålet med indsamling af persondata
    • Hvad er retsgrundlaget (hjemlen) for indsamling af persondata
    • Hvilke persondata indsamles
    • Hvilke andre modtager sendes data videre til samt hvilke lande er disse modtagere placeret i samt hjemlen for at sende data videre
    • Hvor lang tid opbevares de indleverede persondata
    • Hvad er den registreredes rettigheder samt hvordan kan den registrerede klage

Psedonymisering: (Registreredes rettigheder)

Begrebet pseudonymisering er i databeskyttelsesforordningen defineret som behandling af personoplysninger på en sådan måde, at personoplysningerne ikke længere kan henføres til en bestemt registreret uden brug af supplerende oplysninger, forudsat at sådanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger for at sikre, at personoplysningerne ikke henføres til en identificeret eller identificerbar fysisk person.
Selv om oplysninger som et navn eller en adresse er erstattet af en kode, som for eksempel AB123, er det stadig en personoplysning, hvis koden kan føres tilbage til den oprindelige personoplysning. Det er tilfældet, så længe der er nogen, der kan gøre oplysningerne læsbare og identificere de personer, det drejer sig om. Dette kaldes ofte pseudonymiserede oplysninger, og sådanne oplysninger er fortsat omfattet af databeskyttelsesreglerne.

Q.

Q&A:

Questions & Answer: husk at du altid kan sende dine Q( Spørgsmål sendes til info@GDPR-Regler.dk), også sørger vi for et svar til dig.

R.

Registrerede:

Den person som personoplysningerne vedrører, f.eks. en borger, bruger eller medarbejder.

Registreredes rettigheder:

Der er nogle helt basale rettigheder, som enhver virksomhed skal leve op til i forbindelse med GDPR overfor privatpersoner.

  • Oplysningspligten
  • Ret til indsigt
  • Ret til sletning (retten til, at blive glemt)
  • Ret til begrænsning af behandling
  • Ret til dataportabilitet
  • Ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk afgørelse

De enkelte punkter er uddybet her i ordbogen under deres respektive afsnit.

Retten til at blive slettet / glemt: ( Registreredes rettigheder )

Enhver registreret person kan få slettet sine personoplysninger, når de ikke længere er nødvendige til opfyldelse af det formål, de er indsamlet til, og når loven i øvrigt kræver det, f.eks. bogføringsloven eller du har trukket dit samtykke tilbage.

Enhver virksomhed har i deres ”Fortegnelse” beskrevet hvor lang tid de gemmer personoplysninger om f.eks. tidligere ansatte og har samtidig en pligt til løbende at slette de persondata, som de ikke har længere har behov for. F.eks. skal en tidligere medarbejderes telefonnummer fjernes fra vagtlisten, når medarbejderen ikke længere er tilknyttet vagtordningen, uanset om den ansatte fortsat er i virksomheden eller ej.

Retten til berigtigelse: (Registreredes rettigheder)

Retten til berigtigelse indebærer for det første, at en registreret har ret til at få urigtige (forkerte) personoplysninger om sig selv rettet. Herudover har en registreret – under hensyntagen til formålene med en behandling – for det andet ret til at få fuldstændiggjort ufuldstændige personoplysninger, hvilket bl.a. kan ske ved, at den registrerede fremlægger en supplerende erklæring. Den registreredes ret til at få fuldstændiggjort ufuldstændige personoplysninger indebærer, at du ikke må afvise at supplere en sags oplysninger med yderligere oplysninger, hvis dette vil gøre sagen mere fuldstændig og/eller ajourført. Hvis du modtager en anmodning fra en registreret, der ønsker urigtige personoplysninger berigtiget, skal du berigtige oplysninger uden unødig forsinkelse.

Retten til dataoverførsel:

Hvis en kunde ønsker at få overført sine data til en anden serviceudbyder, har de ret til det og det skal være i et almindeligt og læsbart format.

Retten til indsigelse: (Registreredes rettigheder)

Retten til indsigelse indebærer, at den registrerede til enhver tid har ret til – af grunde, der vedrører den pågældendes særlige situation – at gøre indsigelse mod en ellers lovlig behandling af sine personoplysninger. Hvis du som dataansvarlig modtager en indsigelse fra den registrerede, skal du derfor tage stilling til, om indsigelsen er berettiget, også selvom om din behandling af oplysningerne i øvrigt er lovlig

Retten til indsigt: ( Registreredes rettigheder)

Du har som udgangspunkt ret til at se de personoplysninger, der behandles om dig. På den måde er du sikret gennemsigtighed i behandlingen af dine personoplysninger.
Du har som udgangspunkt ret til at se de personoplysninger, den dataansvarlige behandler om dig – og du har ret til at få en kopi med oplysningerne udleveret gratis.
Du har desuden ret til at få en række oplysninger om, hvordan dine personoplysninger behandles, herunder bl.a. hvad formålet med behandlingen er, hvem dine personoplysninger deles med, samt informationer om det tidsrum dine personoplysninger opbevares i. Du har desuden ret til at få at vide, hvor dine personoplysninger stammer fra. Der er sat en tidsfrist på 30 dage til, at levere disse oplysninger, hvis der er noget kompliceret i indsamling af data om den registrerede, kan fristen forlænges med op til 2 måneder, men den Dataansvarlige skal proaktivt informere den der har ønsket indsigt om at den forlængede svarfrist, og de samlede 3 måneder er en max. Sagsbehandlingstid for at indsamle samt udlevere data til den registrerede.

Risikovurdering:

Risikovurderingen er en obligatorisk del af ”Fortegnelsen” og skal kunne fremvises ved et besøg eller en forespørgsel fra Datatilsynet. Nedenstående tekst er kopieret fra Datatilsynets hjemmeside om risikovurderinger.

”Databeskyttelsesforordningen har et omdrejningspunkt for tilgangen til persondatabeskyttelse der i bred forstand er risikobaseret. Det skal forstås sådan, at den dataansvarlige, allerede før en behandling foretages, skal foretage en kortlægning over risikoen for de registreredes rettigheder og så en afvejning af disse risici i forhold til de forholdsregler der bliver truffet for at beskytte disse rettigheder.”

Hvordan risikovurderingen skal udarbejdes, er der ingen krav om, men følgende indhold skal være dækket, jævnfør Datatilsynets hjemmeside:

  • En kortlægning af alle de risici behandlingen medfører og en kategorisering (scoring, sandsynlighed og alvorlighed) heraf.
  • En vurdering af hvad der er passende tekniske organisatoriske foranstaltninger, til at sørge for at forordningen overholdes og dette kan dokumenteres.

S.

Samtykkeerklæring:

Samtykkeerklæring skal være afgivet inden den dataansvarlige begynder at anvende samtykket til f.eks. at sende nyhedsbreve til en modtagers e-mailadresse. Et samtykke skal være afgivet frivilligt afgivet og kan være afgivet mundtligt, skriftligt eller elektronisk. Et samtykke skal være afgivet som et aktivt samtykke, dvs. f.eks. Ved tilmelding til et nyhedsbrev, må feltet “Ja tak til nyhedsbrevet” ikke være udfyldt på forhånd. Det skal den enkelte person/ mulige kunde aktivt vælge at krydse af. Det samme gør sig gældende hvis der f.eks. Er flere ting, som kan krydses og gives samtykke til. Her skal det også være muligt f.eks. At sige ja tak til nyhedsbrevet om f.eks. Børnetøj, men ikke modtage nyhedsbrevet om dametøj (medmindre personen også har krydses det felt af). Igen har datatilsynet udarbejdet en god vejledning.

Sikker mail:

Bruges til at sende Mail der ikke skal læses af andre end modtageren. Sikker mail bruges til at sendes krypteret beskeder eller til signering så modtageren er sikker på at det er dig der er afsenderen.

Sletning:

Sletning er en handling, der sikrer, at personoplysninger ikke længere er tilgængelige.

  • Sletning er et af de vigtigste områder at en Dataansvarlig har styr på, idet den enkelte person, der har sine persondata liggende hos en dataansvarlig forventer at når der bliver bedt om at data slettes eller slettefristen er nået, så slettes data uanset om det sker automatisk eller manuelt. Der skal hos den enkelte virksomhed være sat slettefrister på hvert enkelt IT-system, disse slette frister skal være beskrevet i Den interne fortegnelse / artikel 30, her skal slettefristerne være opdelt, idet der kan være forskellige slettefrister for medarbejdere, kunder og leverandører. Hvis du er i tvivl om I lever op til gældende lovgivning, kan du læse vejledningen

Særlige personfølsomme data:

Nedenstående 8 særlige personfølsomme oplysninger skal du være ekstra opmærksom på, hvis du har behov for at indsamle samt opbevarer dem. Baggrunden for dette skyldes at disse 8 er defineret som personoplysninger, der f.eks. Kan give op til det dobbelte i bøde, hvis du ikke passer på dem eller får dem slettet, indenfor den tidsfrist der er beskrevet i Fortegnelsen.

  • Det eksempel kan være en politiks forening, som har medlemmer, der melder sig ud, men de bliver ikke slettet indenfor slettet i medlemslisten, men modtager stadig informationer, indkaldelser o. Lign. Efter udmeldelsen fra det pågældende parti ( det tidligere medlem vil måske gerne meldes ind i et andet politisk parti).
  • Race eller etnisk oprindelse
  • Politisk
  • Religiøs eller filosofisk overbevisning
  • Fagforeningsmæssigt tilhørsforhold
  • Genetiske data
  • Biometriske data med henblik på entydigt at identificere en fysisk person
  • Helbredsoplysninger
  • Seksuelle forhold eller seksuel orientering

T.

Tilsynsmyndighed:

Datatilsynet er tilsynsmyndighed for GDPR-lovgivningen i Danmark. De er en central uafhængig myndighed, som har til opgave at føre tilsyn med at alle danske virksomheder med et CVR-nummer overholder gældende lovgivning vedr. GDPR / reglerne om databeskyttelse.

Transfer Impact Assessment (TIA/ 3. lands overførsler): (Registreredes rettigheder)

  • Overførsler til 3. lande, såvel sikre som usikre 3. lands overførsler er nok den del af GDPR lovgivningen, der er ændret flest gange siden 2018 og stadig er i en ændringsproces. På dette link kan den nuværende vejledning kan læses, derudover er anbefalingen herfra at læse på Datatilsynets hjemmeside, hvis du er i tvivl om hvad gældende lovgivning er nu.

Tredjeland samt overførsler:

Et tredjeland er et land uden for EU og EØS-samarbejde. Hvis persondata overføres til et tredjeland, gælder der særlige regler og grundlag for overførsel af data/ persondata oplysninger.

Baggrunden for disse regler skal findes i at sikre dine oplysninger, også når data flyttes udenfor EU samt de lande, som der er opnået en aftale med. De er derfor benævnt ”sikkert tredjeland”, f.eks. skulle Storbritannien efter Brexit godkendes som ”Sikkert tredjeland”, hvis ikke det var sket ville kravene være blevet ændret, så en handel med en virksomhed i London ville svare til at handle med en virksomhed i Indien.

Der er en liste over sikre tredjelande, som er med under samme grundlag/ hjemmel som de øvrige lande i EU. Derudover er der en oversigt, der hvilke forskellige grundlag, der kan anvendes for at overføre persondata til de usikre tredje lande, f.eks. USA. Oversigt finder du Datatilsynets oversigt

Den samlede vejledning fra Datatilsynet vedr. tredjelandsoverførsler.

Tjek om hjemmeside er sikker:

U.

Uautoriseret adgang til IT-systemer – og fællesdrev:

Der sker ofte fejl i forbindelse med styring af adgange til IT-systemer og drev. Som dataansvarlig skal du sikre dig, at kun de rette har adgang, herunder at der er en bruger adgang vedr. hvem der har adgang til hvilke mapper på fællesdrevet.

Derfor skal det overvejes, om der behov for procedurer for adgangskontrol, logning af brugernes adgang i systemerne er et naturligt krav at stille til sin leverandør samt løbende kontrol af, om det over tid stadig er de rigtige, der har adgang. Samtidig skal der årligt ske en evaluering om det er de rette medarbejdere, der har de forskellige adgange.

V.

Videooptagelse:

 

W.

Wired Relations:

Wired Relation er en IT-cloud platform, hvor bl.a. alle dine GDPR-dokumenter til brug for etablering af en virksomheds interne fortegnelse / artikel 30 kan ligge i et lukket system, der udover at hjælpe dig med, at leve optil gældende lovgivning, hjælper dig på en nem måde med, at vise status til din ledelse samt bestyrelse. Wired Relations er bygget op, så du som nystartet gratis kan tilknytte en rådgiver samt dig selv som bruger gratis, prisen stiger så afhængig af hvor mange moduler, f.eks. ISO, ISAE3000 moduler eller lign. Du som virksomhed vælger at anvende. GDPR-Regler.dk er rådgiver på Wired Relations. Du kan læse mere om Wired Relations.

Whistleblower:

Fra 17. december 2023 skal arbejdspladser med min. 50 ansatte have etableret en whistleblower ordning, på linket kommer du til den overordnede side for Den Nationale Whistleblowerordning  Baggrunden for ordningen skal findes i at EU samt Folketinget vil sikre at de der anmelder uretmæssigheder til en whistleblower ordning er sikret en beskyttelse, du kan læse meget mere om ordningen på linket her  Whistleblower.dk

.

Ordbogen er under konstant udvikling

Ordbogen bliver opdateret hver uge med nye forklaringer. Sidste opdatering skete 28 august 2023.