Hvornår behandler du personoplysninger?

En behandling af personoplysninger kan have mange former. Begrebet er så bredt defineret, at du som regel vil anses for at udføre en behandling, så snart du kommer i kontakt med personoplysninger om andre.

Databeskyttelsesreglerne finder anvendelse, når du "behandler" personoplysninger. Det er derfor afgørende at være opmærksom på, hvornår du udfører en behandling af oplysninger om andre, fordi du ofte vil have forpligtelser efter reglerne og være ansvarlig for beskyttelsen af oplysningerne.

En behandling kan efter databeskyttelsesforordningen omfatte enhver håndtering af personoplysninger, herunder indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.

Finder blot en af de nævnte former for håndtering af personoplysninger sted, vil der være tale om en behandling, som er omfattet af databeskyttelsesreglerne.

Dataansvarlig eller databehandler?

Når du som privat virksomhed, offentlig myndighed, fysisk person, institution eller ethvert andet organ behandler (f.eks. indsamler, registrerer, videregiver eller sletter) personoplysninger om andre personer, er det vigtigt, at du er opmærksom på, hvad din rolle er i forbindelse med behandlingen. 

Den dataansvarlige er den person, virksomhed, myndighed eller anden organisation, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.

Databehandleren er den person, virksomhed, myndighed eller anden organisation, der behandler personoplysninger på den dataansvarliges vegne.

Det er vigtigt, fordi kravene til en dataansvarlig og til en databehandler er forskellige. Hvis de parter, der deltager i en behandling af personoplysninger, er usikre på, hvem der har ansvaret for at leve op til de forskellige regler om databeskyttelse, er der en risiko for, at ingen af parterne påtager sig ansvaret, eller at en part påtager sig et ansvar, som den pågældende reelt ikke har. Det er derfor meget vigtigt, at du – inden du begynder at behandle personoplysninger – får afklaret, hvilken rolle du og eventuelle andre parter har i forbindelse med behandlingen.

I nogle tilfælde vil rollefordelingen mellem dig og de øvrige parter, der behandler personoplysninger, være let at afklare, fordi der er tale om en klassisk databehandlerkonstruktion, hvor f.eks. en IT-leverandør udelukkende handler efter instruks og udfører elektronisk databehandling af personoplysninger for en anden virksomhed eller en myndighed. I andre tilfælde kan det være langt mere vanskeligt at vurdere, om du handler som dataansvarlig eller databehandler.

Du kan læse mere om fastlæggelsen af disse roller i Datatilsynets vejledning om dataansvarlige og databehandlere.

Behandlinger - undtaget fra databeskyttelsesreglerne

Databeskyttelsesreglerne gælder ikke for en fysisk persons behandling af personoplysninger om andre under en rent personlig eller familimæssig aktivitet. Dette kan for eksempel omfatte korrespondance og førelse af en adressefortegnelse eller sociale netværksaktiviteter og onlineaktiviteter, som udøves som led i sådanne aktiviteter. 

Myndigheder, der efterforsker eller retsforfølger stafbare handlinger eller lignende, som for eksempel politiet, anklagemyndigheden eller domstolene, er almindeligvis heller ikke omfattet de almindelige databeskyttelsesregler, men i stedet de særlige regler i retshåndhævelsesloven, som du kan læse om her: Politi og retsvæsen

Endelig finder databeskyttelsesreglerne som udgangspunkt ikke anvendelse på dataansvarlige, som er etableret uden for EU. Der er dog en række undtagelser til dette, som du kan læse mere om under punktet "Danmark, EU og resten af verden".