Myter om GDPR

Databeskyttelsesforordningen har givet anledning til en række myter om, hvad reglerne betyder i praksis - her har vi samlet en del af dem og givet dem et par ord med på vejen.

Nej - samtykke er et af flere retlige grundlag for at behandle personoplysninger. Grundlaget kan fx også været at opfylde en kontrakt eller en retlig forpligtelse. Læs mere om retlige grundlag her.

Nej, det vil normalt være helt i orden at have en liste over folks fødselsdage - Datatilsynet har faktisk selv sådan en liste på intranettet! Men hvis en kollega ikke ønsker fx sin fødselsdato delt med andre, skal man lave en ny vurdering ift. delingen af denne persons oplysninger.

Nej, ikke altid - man kan fx ikke bare bede Skattestyrelsen om at slette, hvad de har registreret om en. Dataansvarlige skal ifølge GDPR slette personoplysninger, når ét af disse forhold gør sig gældende:

  1. Det er ikke længere nødvendigt for dig at have oplysningerne om den registrerede af hensyn til de formål, hvormed du indsamlede oplysningerne.
  2. Du har baseret din behandling på et samtykke, og den registrerede trækker nu sit samtykke tilbage, og du har samtidig ikke en anden hjemmel for behandlingen.
  3. Du behandler oplysningerne ulovligt (uden hjemmel i databeskyttelsesforordningens kapitel II)
  4. Du er forpligtet til at slette oplysningerne som følge af EU-lovgivning eller national lovgivning i en medlemsstat.
  5. Du er forpligtet til at slette oplysningerne som konsekvens af, at den registrerede udøver sin ret til indsigelse (for mere om denne rettighed se afsnit 9).
  6. Du er udbyder af en informationssamfundstjeneste (f.eks. et socialt netværk), og du har baseret din behandling af personoplysninger om en registreret på et samtykke givet af den registreredes forældremyndighedsindehavere, og den registrerede tilbagekalder nu selv samtykket efter at være fyldt 13 år.

Læs mere om retten til sletning her.

Nej, i udgangspunktet bliver man ikke godkendt eller får tilladelse af os. I nogle meget få tilfælde skal man indhente Datatilsynets tilladelse til behandling af personoplysninger, men normalt er det den enkelte dataansvarliges opgave at sørge for at leve op til reglerne i GDPR.

Det er ganske rigtigt en dårlig idé at registrere, hvilke medarbejdere der er muslimer eller ikke kan tåle skaldyr. Men der er intet galt i at spørge, om der er noget, folk ikke spiser - så kan det dække over både tro, helbred og det, at man virkelig bare ikke bryder sig om sild. 

Nej, som udgangspunkt er det helt fint at dele deltagerlister ud til deltagerne. Man skal bare huske oplysningspligten og fx fortælle deltagerne ved tilmeldingen, at man vil dele deres oplysninger med de andre deltagere - så har man også mulighed for at sige fra, hvis man ikke ønsker at optræde på sådan en liste.

Nej, GDPR bliver håndhævet på flere måder. Fysiske tilsynsbesøg er en af dem, men en klage til Datatilsynet eller et brud på persondatasikkerheden kan også i nogle tilfælde udløse en sanktion - fx forbud, påbud eller indstilling til bøde.

Nej, man skal lave en databehandleraftale, når aftalen mellem de to parter først og fremmest drejer sig om behandling (indsamling, opbevaring, sletning mv.) af personoplysninger. Men hvis der bliver behandlet personoplysninger i forbindelse med fx en håndværksydelse, er det normalt ikke nødvendigt med en databehandleraftale. Læs mere og se flere eksempler her.

Nej, det er ikke tilstrækkeligt bare at henvise til sin privatlivspolitik. Ifølge GDPR skal du nemlig give kunden en gratis kopi af de personoplysninger, som du måtte behandle om hende, samt en række oplysninger om behandlingen, bl.a. hvordan og hvorfor du behandler dem. Læs mere om dine forpligtelser som dataansvarlig her.

Nej, i mange tilfælde bør man som dataansvarlig også orientere de registrerede - dvs. fx de kunder eller borgere, hvis oplysninger kan være kommet i de forkerte hænder. Læs mere om underretning af de registrerede her.

Nej, databeskyttelsesforordningen indeholder ingen facitlister for, hvornår man skal slette personoplysninger - slettefrister afhænger altid af en konkret vurdering. Der kan dog være anden lovgivning (fx forvaltningsloven eller bogføringsloven), der angiver, hvor længe en bestemt type oplysning som minimum skal gemmes. Du kan læse mere om sletning og slettefrister her. 

Du kan løbende følge med i myterne om GDPR på Datatilsynets side på LinkedIn, hvor vi hver mandag tager en myte op.