Persondata forordningen har til formål at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger.
Virksomhederne skal være mere gennemsigtige med hensyn til, hvilke persondata de ligger inde med og hvad de bruger data til.
Hvad er personoplysning?
Persondataforordningen beskytter oplysninger om en fysisk person, der er identificeret eller identificerbar.
Når en oplysning kan knyttes til en fysisk person, er det en ”personoplysning”.
Det gælder også selvom koblingen kun kan ske ved hjælp af oplysninger fra andre kilder og selv om disse kilder er utilgængelige for jeres virksomhed, f.eks. navnet på indehaveren af en PC med en bestemt IP-adresse (som i udgangspunktet kun er tilgængeligt for teleselskabet, et IT-firma osv.).
Alle fysiske personer er beskyttet af reglerne i Persondataforordningen.
Fysiske personer kan f.eks. være medarbejdere, kunder, passagerer, patienter, forsøgspersoner, journalister, politiske forbindelser, bestyrelsesmedlemmer, en leverandørs medarbejdere og besøgende på hjemmesiden.
Hvilke typer af personoplysninger indgår i Persondatafordringen?
I modsætning til tidligere gøres der i Persondataforordningen kun brug af to primære kategorier, almindelige og følsomme personoplysninger.
Almindelige oplysninger er:
Navn, adresse, mobiltelefonnummer, e-mailadresse, IP-adresse, elektroniske spor, logs, fødselsdato, familieforhold, bolig, fritidsinteresser, stillinger, login oplysninger, arbejdstider, lønoplysninger, performance, kreditkort/bankkonto, uddannelse, karakterer, pasnummer, rejseoplysninger og CPR-nummer.
Følsomme oplysninger er:
Race, etnisk oprindelse, politisk overbevisning, religiøs overbevisning, filosofisk overbevisning, fagforeningstilhørsforhold, seksuelle forhold/orientering, helbredsoplysninger, genetiske og biometriske data, straffedomme og tilknyttede sikkerhedsforanstaltninger.
Hvad er en registreret?
En registreret er en person hvis persondata er registeret hos en virksomhed eller en offentlig myndighed og vedkommende kan identificeres på grund af de registrerede personoplysninger.
Hvad er en dataansvarlig?
En dataansvarlig er en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.
Hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige, eller de specifikke kriterier for udpegelse af denne, fastsættes i EU-retten eller medlemsstaternes nationale ret.
Hvad er en databehandler?
En databehandler er en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne.
En dataansvarlig kan vælge en eller flere databehandlere til at udføre et stykke arbejde på sine vegne. Databehandleren skal have adgang til personoplysninger for at kunne udføre arbejdet.
Eksempler på databehandlere:
- Hosting i en Cloud løsning (Microsoft, Dropbox osv.)
- En outsourcing partner, der udfører en opgave enten i eller uden for EU på vegne af en data ansvarlig
- En ekstern lønadministrator
- En konsulentvirksomhed, der får adgang til personoplysninger
- Et teleselskab, hvor man køber telefon og/eller Internet tjenester
- En IT-leverandør
Hvad er behandling af personoplysninger?
Persondatabehandlingen er enhver aktivitet eller række af aktiviteter - med eller uden brug af automatisk behandling - som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.
Behandling af persondata består af:
- Indsamling
- Samkøring
- Videregivelse
- Opbevaring
- Ændring
- Sletning
Hvad er et samtykke?
Betingelserne for samtykke er blevet styrket, og virksomhederne vil ikke længere kunne bruge lange ulæselige vilkår og betingelser, der er fulde af juridiske og uforståelige termer, da anmodningen om samtykke skal gives i en forståelig og let tilgængelig form.
Formålet med databehandling skal knyttes til samtykket.
Samtykke skal være klart og skelnes fra andre forhold og tilvejebringes i en forståelig og let tilgængelig form ved hjælp af et klart og almindeligt sprog.
Det skal være lige så nemt at inddrage samtykke som det er at give det.
Krav til samtykke:
1. Samtykket skal indeholde en liste over hvilke personoplysninger, der bliver gemt
2. Samtykket skal indeholde hvert formål med behandling af persondata
3. Samtykket må være nemt at læse og forstå
4. Samtykket skal være adskilt fra anden tekst, som ikke har med samtykket at gøre
5. Samtykket bør ikke være en betingelse for at få adgang til en tjeneste
6. Samtykket kan når som helst trækkes tilbage
7. Samtykket skal dokumenteres
Vi har udviklet et e-learningskursus, der forklarer alle de tiltag en virksomhed skal iværksætte for at være GDP compliant.